Windows güvenlik temeli
Bu makalede, aşağıdaki uygulamalarda geçerli olan Windows konukları için yapılandırma ayarları ayrıntılı olarak verilmiştir:
- [Önizleme]: Windows makineleri, Azure işlem güvenlik temeli Azure İlkesi konuk yapılandırma tanımı gereksinimlerini karşılamalıdır
- Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları Azure Güvenlik Merkezi
Daha fazla bilgi için bkz . Azure Otomatik Yönetim makine yapılandırması.
Önemli
Azure İlkesi konuk yapılandırması yalnızca Windows Server SKU ve Azure Stack SKU için geçerlidir. Windows 10 ve Windows 11 SKU'ları gibi son kullanıcı işlemi için geçerli değildir.
Hesap İlkeleri-Parola İlkesi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Hesap Kilitleme Süresi (AZ-WIN-73312) |
Açıklama: Bu ilke ayarı, kilitli bir hesabın kilidinin açılması için geçmesi gereken süreyi belirler ve kullanıcı yeniden oturum açmayı deneyebilir. Bu ayar, kilitli bir hesabın kullanılamaz durumda kalacağı dakika sayısını belirterek bunu yapar. Bu ilke ayarının değeri 0 olarak yapılandırıldıysa, kilitlenen hesaplar yönetici el ile kilidini açana kadar kilitli kalır. Bu ilke ayarının değerini yüksek bir değere yapılandırmak iyi bir fikir gibi görünse de, bu tür bir yapılandırma büyük olasılıkla yardım masasının yanlışlıkla kilitlenen hesapların kilidini açmak için aldığı çağrı sayısını artırır. Kullanıcılar, bir kilidin ne kadar süre kaldığına dikkat etmelidir, böylece yalnızca bilgisayarlarına yeniden erişim kazanmak için acil bir ihtiyaçları varsa yardım masasını aramaları gerektiğini fark ederler. Bu ayar için önerilen durum: 15 or more minute(s) . Not: Parola İlkesi ayarları (bölüm 1.1) ve Hesap Kilitleme İlkesi ayarları (bölüm 1.2) varsayılan davranışları olarak etki alanı kullanıcı hesaplarında genel olarak geçerli olması için Varsayılan Etki Alanı İlkesi GPO'sunda uygulanmalıdır. Bu ayarlar başka bir GPO'da yapılandırılırsa, yalnızca GPO'ya sahip bilgisayarlardaki yerel kullanıcı hesaplarını etkiler. Ancak, belirli etki alanı kullanıcıları ve/veya grupları için varsayılan parola ilkesi ve hesap kilitleme ilkesi kuralları için özel özel durumlar, Grup İlkesi'nden tamamen ayrı olan ve Active Directory Yönetici Istrative Center kullanılarak en kolay şekilde yapılandırılan Parola Ayarlar Nesneleri (PSO' lar) kullanılarak tanımlanabilir.Anahtar Yolu: [Sistem Erişimi]LockoutDuration İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme süresi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (İlke) |
Uyarı |
Yönetici Istrative Şablonu - Window Defender
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
İstenmeyebilecek uygulamalar için algılamayı yapılandırma (AZ-WIN-202219) |
Açıklama: Bu ilke ayarı, istenmeyen uygulama paketleyicileri veya bunların paketlenmiş uygulamaları olan ve adware veya kötü amaçlı yazılım sunabilen İstenmeyebilecek Uygulamalar (PUA) için algılamayı ve eylemi denetler. Bu ayar için önerilen durum: Enabled: Block . Daha fazla bilgi için şu bağlantıya bakın: Microsoft Defender Virüsten Koruma ile istenmeyebilecek uygulamaları engelleme | Microsoft DocsAnahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\İstenmeyebilecek uygulamalar için algılamayı yapılandırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (Kayıt Defteri) |
Kritik |
İndirilen tüm dosyaları ve ekleri tara (AZ-WIN-202221) |
Açıklama: Bu ilke ayarı, indirilen tüm dosyalar ve ekler için taramayı yapılandırıyor. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Gerçek Zamanlı Koruma\İndirilen tüm dosyaları ve ekleri tara Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (Kayıt Defteri) |
Uyarı |
Microsoft Defender AntiVirus'u kapatma (AZ-WIN-202220) |
Açıklama: Bu ilke ayarı Microsoft Defender Virüsten Koruma kapatır. Ayar Devre Dışı olarak yapılandırıldıysa, Microsoft Defender Virüsten Koruma çalıştırmaları ve bilgisayarlar kötü amaçlı yazılımlar ve istenmeyebilecek diğer yazılımlar için taranır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Microsoft Defender AntiVirus'u kapatma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (Kayıt Defteri) |
Kritik |
Gerçek zamanlı korumayı kapatma (AZ-WIN-202222) |
Açıklama: Bu ilke ayarı, bilinen kötü amaçlı yazılım algılama için gerçek zamanlı koruma istemlerini yapılandırıyor. Microsoft Defender Virüsten Koruma, kötü amaçlı yazılım veya istenmeyebilecek yazılımlar kendisini yüklemeyi veya bilgisayarınızda çalıştırmayı denediğinde sizi uyarır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Gerçek Zamanlı Koruma\Gerçek zamanlı korumayı kapatma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (Kayıt Defteri) |
Uyarı |
E-posta taramayı açma (AZ-WIN-202218) |
Açıklama: Bu ilke ayarı, e-posta taramasını yapılandırmanızı sağlar. E-posta taraması etkinleştirildiğinde, altyapı posta gövdelerini ve eklerini analiz etmek için posta kutusunu ve posta dosyalarını kendi biçimlerine göre ayrıştıracaktır. Şu anda çeşitli e-posta biçimleri desteklenmektedir: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Scan\E-posta taramasını aç Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (Kayıt Defteri) |
Uyarı |
Betik taramayı açma (AZ-WIN-202223) |
Açıklama: Bu ilke ayarı, betik taramanın açılmasına/kapatılmasına izin verir. Betik tarama betikleri durdurur, ardından sistemde yürütülmeden önce bunları tarar. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Real-Time Protection\Betik taramasını aç Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (Kayıt Defteri) |
Uyarı |
Yönetici istrative Templates - Denetim Masası
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Giriş Kişiselleştirmeye İzin Ver (AZ-WIN-00168) |
Açıklama: Bu ilke, konuşma, mürekkep oluşturma ve yazma dahil giriş kişiselleştirmenin otomatik öğrenme bileşenini etkinleştirir. Otomatik öğrenme konuşma ve el yazısı desenlerinin, yazma geçmişinin, kişilerin ve son takvim bilgilerinin toplanmasını sağlar. Cortana'nın kullanımı için gereklidir. Bu toplanan bilgilerin bazıları, mürekkep oluşturma ve yazma durumunda kullanıcının OneDrive'ında depolanabilir; bazı bilgiler konuşmayı kişiselleştirmek için Microsoft'a yüklenir. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için şu kullanıcı arabirimi yolunu Disabled olarak ayarlayın: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Denetim Masası\Bölge ve Dil Seçenekleri\Kullanıcıların çevrimiçi konuşma tanıma hizmetlerini etkinleştirmesine izin ver Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 10 RTM (Sürüm 1507) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Globalization.admx/adml Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Şablonları'nda, bu ayar başlangıçta Giriş kişiselleştirmesine izin ver olarak adlandırılmıştır, ancak Kullanıcıların Windows 10 R1809 & Server 2019 Yönetici istrative Templates'dan başlayarak çevrimiçi konuşma tanıma hizmetlerini etkinleştirmesine izin ver olarak yeniden adlandırılmıştır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.1.2.2 |
= 0 (Kayıt Defteri) |
Uyarı |
Yönetici Strative Templates - MS Güvenlik Kılavuzu
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
SMB v1 istemcisini devre dışı bırakma (LanmanWorkstation bağımlılığını kaldırma) (AZ-WIN-00122) |
Açıklama: SMBv1, SMB'nin bir parçası olarak MD5 algoritmasını kullanan eski bir protokoldür. MD5'in çarpışma ve ön tahmin saldırıları gibi bir dizi saldırıya karşı savunmasız olduğu ve FIPS uyumlu olmadığı bilinmektedir. Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService İşletim sistemi: WS2008, WS2008R2, WS2012 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Yönetici istrative Templates\MS Güvenlik Kılavuzu\SMBv1 istemci sürücüsünü yapılandırma Uyumluluk Standart Eşlemeleri: |
Yok veya = Bowser\0MRxSmb20\0NSI\0\0 (Kayıt Defteri) |
Kritik |
WDigest Kimlik Doğrulaması (AZ-WIN-73497) |
Açıklama: WDigest kimlik doğrulaması etkinleştirildiğinde, Lsass.exe kullanıcının düz metin parolasının bir kopyasını bellekte tutar ve burada hırsızlık riski altında olabilir. Bu ayar yapılandırılmazsa Windows 8.1 ve Windows Server 2012 R2'de WDigest kimlik doğrulaması devre dışı bırakılır; Windows ve Windows Server'ın önceki sürümlerinde varsayılan olarak etkindir. Yerel hesaplar ve kimlik bilgisi hırsızlığı hakkında daha fazla bilgi için "Karma Geçiş (PtH) Saldırılarını ve Diğer Kimlik Bilgisi Hırsızlığı Tekniklerini Azaltma" belgelerini gözden geçirin. hakkında UseLogonCredential daha fazla bilgi için 2871997 Microsoft Bilgi Bankası makalesine bakın: 13 Mayıs 2014'ün kimlik bilgileri korumasını ve yönetimini geliştirmek için Microsoft Güvenlik Önerisi Güncelleştirmesi. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential İşletim sistemi: WS2016, WS2019 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MS Güvenlik Kılavuzu\WDigest Kimlik Doğrulaması (devre dışı bırakmak için KB2871997 gerekebilir) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (Kayıt Defteri) |
Önemli |
Yönetici Istrative Şablonları - MSS
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
MSS: (DisableIPSourceRouting IPv6) IP kaynağı yönlendirme koruma düzeyi (paket sahtekarlığına karşı korur) (AZ-WIN-202213) |
Açıklama: IP kaynağı yönlendirme, gönderenin bir veri biriminin ağ üzerinden izlemesi gereken IP yolunu belirlemesini sağlayan bir mekanizmadır. Bu ayar için önerilen durum: Enabled: Highest protection, source routing is completely disabled .Anahtar Yolu: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MSS (Eski)\MSS: (DisableIPSourceRouting IPv6) IP kaynağı yönlendirme koruma düzeyi (paket kimlik sahtekarlığına karşı korur) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (Kayıt Defteri) |
Bilgi |
MSS: (DisableIPSourceRouting) IP kaynağı yönlendirme koruma düzeyi (paket sahtekarlığına karşı korur) (AZ-WIN-202244) |
Açıklama: IP kaynağı yönlendirme, gönderenin bir veri biriminin ağ üzerinden alması gereken IP yolunu belirlemesini sağlayan bir mekanizmadır. Kaynak yönlendirmeyi tamamen devre dışı bırakmak için bu ayarın kurumsal ortamlar için Tanımlanmadı ve yüksek güvenlik ortamları için En Yüksek Koruma olarak yapılandırılması önerilir. Bu ayar için önerilen durum: Enabled: Highest protection, source routing is completely disabled .Anahtar Yolu: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MSS (Eski)\MSS: (DisableIPSourceRouting) IP kaynağı yönlendirme koruma düzeyi (paket sahtekarlığına karşı korur) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (Kayıt Defteri) |
Bilgi |
MSS: (NoNameReleaseOnDemand) Bilgisayarın WINS sunucuları dışında NetBIOS adı yayın isteklerini yoksaymasına izin ver (AZ-WIN-202214) |
Açıklama: TCP/IP üzerinden NetBIOS, Windows tabanlı sistemlerde kayıtlı NetBIOS adlarını bu sistemlerde yapılandırılan IP adresleriyle kolayca çözümlemek için bir yol sağlayan bir ağ protokolüdür. Bu ayar, bir ad-yayın isteği aldığında bilgisayarın NetBIOS adını yayınlayıp yayınlamayacağını belirler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MSS (Eski)\MSS: (NoNameReleaseOnDemand) BILGISAYARıN WINS sunucuları dışında NetBIOS ad yayın isteklerini yoksaymasına izin verin Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (Kayıt Defteri) |
Bilgi |
MSS: (Kasa DllSearchMode) Kasa DLL arama modunu etkinleştirme (önerilir) (AZ-WIN-202215) |
Açıklama: DLL arama sırası, işlemleri iki yoldan biriyle çalıştırarak istenen DLL'leri aramak üzere yapılandırılabilir: - Önce sistem yolunda belirtilen klasörleri ara ve ardından geçerli çalışma klasörünü ara. - Önce geçerli çalışma klasörünü arayın ve ardından sistem yolunda belirtilen klasörleri arayın. Etkinleştirildiğinde, kayıt defteri değeri 1 olarak ayarlanır. 1 ayarıyla, sistem önce sistem yolunda belirtilen klasörleri arar ve ardından geçerli çalışma klasörünü arar. Devre dışı bırakıldığında kayıt defteri değeri 0 olarak ayarlanır ve sistem önce geçerli çalışma klasörünü arar ve ardından sistem yolunda belirtilen klasörleri arar. Uygulamalar önce sistem yolunda DLL'leri aramaya zorlanır. Bu DLL'lerin uygulamaya dahil edilen benzersiz sürümlerini gerektiren uygulamalar için bu giriş performans veya kararlılık sorunlarına neden olabilir. Bu ayar için önerilen durum: Enabled . Not: Kasa DLL arama modunun nasıl çalıştığı hakkında daha fazla bilgiye şu bağlantıdan ulaşabilirsiniz: Dinamik Bağlantı Kitaplığı Arama Sırası - Windows uygulamaları | Microsoft DocsAnahtar Yolu: SYSTEM\CurrentControlSet\Control\Session Manager\Kasa DllSearchMode İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MSS (Eski)\MSS: (Kasa DllSearchMode) Kasa DLL arama modunu etkinleştirme (önerilir) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (Kayıt Defteri) |
Uyarı |
MSS: (WarningLevel) Sistemin uyarı oluşturacağı güvenlik olay günlüğü için yüzde eşiği (AZ-WIN-202212) |
Açıklama: Bu ayar, günlük kullanıcı tanımlı bir eşiğe ulaştığında Güvenlik olay günlüğünde bir güvenlik denetimi oluşturabilir. Bu ayar için önerilen durum: Enabled: 90% or less . Not: Günlük ayarları gerektiğinde olayların üzerine yazacak veya x günden eski olayların üzerine yazacak şekilde yapılandırıldıysa, bu olay oluşturulmaz.Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MSS (Eski)\MSS: (WarningLevel) Sistemin uyarı oluşturacağı güvenlik olay günlüğü için yüzde eşiği Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (Kayıt Defteri) |
Bilgi |
Windows Server, İnternet Denetim İletisi Protokolü (ICMP) yeniden yönlendirmelerinin Önce En Kısa Yolu Aç (OSPF) tarafından oluşturulan yolları geçersiz kılmasını engelleyecek şekilde yapılandırılmalıdır. (AZ-WIN-73503) |
Açıklama: İnternet Denetim İletisi Protokolü (ICMP) yeniden yönlendirmeleri, IPv4 yığınının ana bilgisayar yollarını yönlendirmesine neden olur. Bu yollar, Önce En Kısa Yolu Aç (OSPF) tarafından oluşturulan yolları geçersiz kılar. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MSS (Eski)\MSS: (EnableICMPRedirect) OSPF tarafından oluşturulan yolları geçersiz kılmak için ICMP yeniden yönlendirmelerine izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (Kayıt Defteri) |
Bilgi |
Yönetici istrative Templates - Ağ
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Güvenli olmayan konuk oturum açmalarını etkinleştirme (AZ-WIN-00171) |
Açıklama: Bu ilke ayarı, SMB istemcisinin bir SMB sunucusunda güvenli olmayan konuk oturum açmalarına izin verilip verirseniz belirler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Şablonları etwork\Lanman Workstation\Güvenli olmayan konuk oturum açmalarını etkinleştirme Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 10 Release 1511 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'LanmanWorkstation.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (Kayıt Defteri) |
Kritik |
Sağlamlaştırılmış UNC Yolları - NETLOGON (AZ_WIN_202250) |
Açıklama: Bu ilke ayarı UNC yollarına güvenli erişim yapılandırıyor Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Yönetici istrative Templates\Network\Ağ Sağlayıcısı\Sağlamlaştırılmış UNC Yolları Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Kayıt Defteri) |
Uyarı |
Sağlamlaştırılmış UNC Yolları - SYSVOL (AZ_WIN_202251) |
Açıklama: Bu ilke ayarı UNC yollarına güvenli erişim yapılandırıyor Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Yönetici istrative Templates\Network\Ağ Sağlayıcısı\Sağlamlaştırılmış UNC Yolları Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Kayıt Defteri) |
Uyarı |
İnternet veya Windows Etki Alanı ile eşzamanlı bağlantı sayısını en aza indirme (CCE-38338-0) |
Açıklama: Bu ilke ayarı bilgisayarların hem etki alanı tabanlı bir ağa hem de etki alanı tabanlı olmayan bir ağa aynı anda bağlanmasını engeller. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimize Bağlan ions İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: 3 = Prevent Wi-Fi when on Ethernet ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Şablonları etwork\Windows Bağlantı Yöneticisi\İnternet'e veya Windows Etki Alanı'na eşzamanlı bağlantı sayısını en aza indirme Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates ile birlikte gelen 'WCM.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Windows 10 Release 1903 Yönetici istrative Templates ile başlayan yeni bir İlke Seçeneklerini Simge Durumuna Küçült alt ayarıyla güncelleştirildi. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.5.21.1 |
Yok veya = 1 (Kayıt Defteri) |
Uyarı |
DNS etki alanı ağınızda Ağ Köprüsü yüklemesini ve yapılandırmasını yasakla (CCE-38002-2) |
Açıklama: Kullanıcının ağ köprüsü yükleme ve yapılandırma becerisini denetlemek için bu yordamı kullanabilirsiniz. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Network Bağlan ions\NC_AllowNetBridge_NLA İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Network\Network Bağlan ions\DNS etki alanı ağınızda Ağ Köprüsü'nün yüklenmesini ve yapılandırılması yasaklansın Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu NetworkConnections.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (Kayıt Defteri) |
Uyarı |
DNS etki alanı ağınızda İnternet Bağlan Paylaşımı kullanımını yasaklama (AZ-WIN-00172) |
Açıklama: Bu "eski" ayar geleneksel olarak Windows 2000, Windows XP ve Server 2003'te İnternet Bağlan ion Sharing (ICS) kullanımına uygulansa da, bu ayar artık Windows 10 ve Server 2016'daki Mobil Etkin Nokta özelliği için yeni bir şekilde geçerlidir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Network Bağlan ions\NC_ShowSharedAccessUI İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Şablonları etwork etwork Bağlan ions\DNS etki alanı ağınızda İnternet Bağlan paylaşımı kullanımını yasakla Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'Network Bağlan ions.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.5.11.3 |
= 0 (Kayıt Defteri) |
Uyarı |
Çok noktaya yayın adı çözümlemeyi kapatma (AZ-WIN-00145) |
Açıklama: LLMNR ikincil bir ad çözümleme protokolüdür. LLMNR ile sorgular, tek bir alt ağdaki yerel ağ bağlantısı üzerinden istemci bilgisayardan LLMNR'nin etkinleştirildiği aynı alt ağdaki başka bir istemci bilgisayara çok noktaya yayın kullanılarak gönderilir. LLMNR, DNS sunucusu veya DNS istemci yapılandırması gerektirmez ve geleneksel DNS ad çözümlemenin mümkün olmadığı senaryolarda ad çözümlemesi sağlar. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Şablonları etwork\DNS İstemcisi\Çok noktaya yayın adı çözümlemeyi kapat Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'DnsClient.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.5.4.2 |
= 0 (Kayıt Defteri) |
Uyarı |
Yönetici Istrative Şablonları - Güvenlik Kılavuzu
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Yapılandırılmış Özel Durum İşleme üzerine yazma korumasını (SEHOP) etkinleştirme (AZ-WIN-202210) |
Açıklama: Windows, Yapılandırılmış Özel Durum İşleme Üzerine Yazma Koruması (SEHOP) desteği içerir. Bilgisayarın güvenlik profilini geliştirmek için bu özelliği etkinleştirmenizi öneririz. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MS Güvenlik Kılavuzu\Yapılandırılmış Özel Durum İşlemeyi Etkinleştirme Üzerine Yazma Koruması (SEHOP) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (Kayıt Defteri) |
Kritik |
NetBT NodeType yapılandırması (AZ-WIN-202211) |
Açıklama: Bu ayar, TCP/IP (NetBT) üzerinden NetBIOS'un adları kaydetmek ve çözümlemek için hangi yöntemi kullandığını belirler. Kullanılabilir yöntemler şunlardır: - B düğümü (yayın) yöntemi yalnızca yayınları kullanır. - P düğümü (noktadan noktaya) yöntemi yalnızca bir ad sunucusuna (WINS) ad sorguları kullanır. - Önce M düğümü (karma) yöntemi yayınlar, ardından yayın başarısız olursa bir ad sunucusu (WINS) sorgular. - H düğümü (karma) yöntemi önce bir ad sunucusunu (WINS) sorgular, ardından sorgu başarısız olursa yayınlar. Bu ayar için önerilen durum: Enabled: P-node (recommended) (noktadan noktaya). Not: LMHOSTS veya DNS aracılığıyla çözümleme bu yöntemleri izler. NodeType Kayıt defteri değeri varsa, herhangi bir DhcpNodeType kayıt defteri değerini geçersiz kılar. Ne varsa ne de NodeType DhcpNodeType yoksa, ağ için yapılandırılmış WINS sunucusu yoksa bilgisayar B düğümü (yayın) veya yapılandırılmış en az bir WINS sunucusu varsa H düğümü (karma) kullanır.Anahtar Yolu: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MS Güvenlik Kılavuzu\NetBT NodeType yapılandırması Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (Kayıt Defteri) |
Uyarı |
Yönetici istrative Templates - Sistem
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kullanıcının oturum açmada hesap ayrıntılarını göstermeyi engelleme (AZ-WIN-00138) |
Açıklama: Bu ilke, kullanıcının oturum açma ekranında hesap ayrıntılarını (e-posta adresi veya kullanıcı adı) göstermesini engeller. Bu ilke ayarını etkinleştirirseniz, kullanıcı oturum açma ekranında hesap ayrıntılarını göstermeyi seçemez. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, kullanıcı oturum açma ekranında hesap ayrıntılarını göstermeyi seçebilir. Anahtar Yolu: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Logon\Kullanıcının oturum açmada hesap ayrıntılarını göstermesini engelle Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 10 Release 1607 & Server 2016 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'Logon.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.28.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Önyükleme-Başlatma Sürücüsü Başlatma İlkesi (CCE-37912-3) |
Açıklama: Bu ilke ayarı, Erken Başlatma Kötü Amaçlı Yazılımdan Koruma önyükleme başlatma sürücüsü tarafından belirlenen sınıflandırmaya göre hangi önyükleme başlatma sürücülerinin başlatılacağını belirtmenize olanak tanır. Erken Başlatma Kötü Amaçlı Yazılımdan Koruma önyükleme başlatma sürücüsü, her önyükleme başlatma sürücüsü için aşağıdaki sınıflandırmaları döndürebilir: - İyi: Sürücü imzalanmış ve üzerinde oynanmamış. - Kötü: Sürücü kötü amaçlı yazılım olarak tanımlandı. Bilinen hatalı sürücülerin başlatılmasına izin vermemesi önerilir. - Hatalı, ancak önyükleme için gerekli: Sürücü kötü amaçlı yazılım olarak tanımlandı, ancak bilgisayar bu sürücüyü yüklemeden başarıyla önyüklenemiyor. - Bilinmiyor: Bu sürücü kötü amaçlı yazılım algılama uygulamanız tarafından doğrulanmamıştır ve Erken Başlatma Kötü Amaçlı Yazılımdan Koruma önyükleme başlatma sürücüsü tarafından sınıflandırılmamıştır. Bu ilke ayarını etkinleştirirseniz, bilgisayar bir sonraki başlatılışında hangi önyükleme başlatma sürücülerinin başlatılacağını seçebilirsiniz. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, önyükleme başlatma sürücüleri İyi, Bilinmiyor veya Kötü olarak belirlenir ancak Önyükleme Kritik başlatılır ve Hatalı olduğu belirlenen sürücülerin başlatılması atlanır. Kötü amaçlı yazılım algılama uygulamanızda Erken Başlatma Kötü Amaçlı Yazılımdan Koruma önyükleme başlatma sürücüsü yoksa veya Erken Başlatma Kötü Amaçlı Yazılımdan Koruma önyükleme başlatma sürücünüz devre dışı bırakıldıysa, bu ayarın hiçbir etkisi olmaz ve tüm önyükleme başlatma sürücüleri başlatılır. Anahtar Yolu: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: Good, unknown and bad but critical ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Early Launch Antimalware\Boot-Start Sürücü Başlatma İlkesi Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'EarlyLaunchAM.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.14.1 |
Yok veya = 3 (Kayıt Defteri) |
Uyarı |
Uzaktan Yardım TeklifLerini Yapılandırma (CCE-36388-7) |
Açıklama: Bu ilke ayarı, bu bilgisayarda Teklif (İstenmeyen) Uzaktan Yardım'ı açmanıza veya kapatmanıza olanak tanır. Yardım masası ve destek personeli, kullanıcı yardım isteklerine yanıt vermeye devam edebilse de proaktif olarak yardım sunamaz. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Remote Assistance\Configure Offer Remote Assistance Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu RemoteAssistance.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
İstenen Uzaktan Yardımı Yapılandırma (CCE-37281-3) |
Açıklama: Bu ilke ayarı, bu bilgisayarda İstenilen (İste) Uzaktan Yardım'ı açmanıza veya kapatmanıza olanak tanır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu RemoteAssistance.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (Kayıt Defteri) |
Kritik |
Ağ seçimi kullanıcı arabirimini görüntüleme (CCE-38353-9) |
Açıklama: Bu ilke ayarı, herkesin oturum açma ekranında kullanılabilir ağ kullanıcı arabirimiyle etkileşim kurup kuramayacağını denetlemenize olanak tanır. Bu ilke ayarını etkinleştirirseniz, Windows'ta oturum açmadan bilgisayarın ağ bağlantı durumu değiştirilemez. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, herhangi bir kullanıcı bilgisayarın ağ bağlantısını kesebilir veya Windows'ta oturum açmadan bilgisayarı diğer kullanılabilir ağlara bağlayabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Logon\Ağ seçimi kullanıcı arabirimini görüntüleme Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'Logon.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.28.2 |
= 1 (Kayıt Defteri) |
Uyarı |
Etki alanına katılmış bilgisayarlarda bağlı kullanıcıları listelemeyin (AZ-WIN-202216) |
Açıklama: Bu ilke ayarı, etki alanına katılmış bilgisayarlarda bağlı kullanıcıların numaralanmasını engeller. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: Software\Policies\Microsoft\Windows\System\DontEnumerate Bağlan edUsers İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Logon\Etki alanına katılmış bilgisayarlarda bağlı kullanıcıları numaralandırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (Kayıt Defteri) |
Uyarı |
RPC Uç Noktası Eşleyici İstemci Kimlik Doğrulamasını Etkinleştirme (CCE-37346-4) |
Açıklama: Bu ilke ayarı, YAPTıKLARı çağrı kimlik doğrulama bilgileri içerdiğinde RPC istemcilerinin Uç Nokta Eşleyici Hizmeti ile kimlik doğrulaması yapıp yapmadığını denetler. Windows NT4 çalıştıran bilgisayarlardaki Uç Nokta Eşleyici Hizmeti (tüm hizmet paketleri) bu şekilde sağlanan kimlik doğrulama bilgilerini işleyemez. Bu ilke ayarını devre dışı bırakırsanız, RPC istemcileri Uç Nokta Eşleyici Hizmeti'nin kimliğini doğrulamaz, ancak Windows NT4 Server'da Uç Nokta Eşleyici Hizmeti ile iletişim kurabilir. Bu ilke ayarını etkinleştirirseniz, RPC istemcileri kimlik doğrulama bilgilerini içeren çağrılar için Uç Nokta Eşleyici Hizmeti'ne kimlik doğrulaması yapar. Bu tür çağrılar yapan istemciler Windows NT4 Sunucusu Uç Nokta Eşleyici Hizmeti ile iletişim kuramaz. Bu ilke ayarını yapılandırmazsanız devre dışı kalır. RPC istemcileri Uç Nokta Eşleyici Hizmeti'nin kimliğini doğrulamaz, ancak Windows NT4 Sunucusu Uç Nokta Eşleyici Hizmeti ile iletişim kurabilir. Not: Sistem yeniden başlatılana kadar bu ilke uygulanmaz. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'RPC.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.37.1 |
= 1 (Kayıt Defteri) |
Kritik |
Windows NTP İstemcisini Etkinleştirme (CCE-37843-0) |
Açıklama: Bu ilke ayarı, Windows NTP İstemcisi'nin etkinleştirilip etkinleştirilmediğini belirtir. Windows NTP İstemcisi'nin etkinleştirilmesi, bilgisayarınızın bilgisayar saatini diğer NTP sunucularıyla eşitlemesine olanak tanır. Üçüncü taraf bir zaman sağlayıcısı kullanmaya karar verirseniz bu hizmeti devre dışı bırakmak isteyebilirsiniz. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'W32Time.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.53.1.1 |
= 1 (Kayıt Defteri) |
Kritik |
CredSSP protokolü için Şifreleme Kahini Düzeltmesi (AZ-WIN-201910) |
Açıklama: Bazı uygulamalar (Uzak Masaüstü Bağlan ion gibi) tarafından kullanılan CredSSP protokolünün bazı sürümleri, istemciye yönelik bir şifreleme kahini saldırısına karşı savunmasızdır. Bu ilke, güvenlik açığı bulunan istemciler ve sunucularla uyumluluğu denetler ve şifreleme kahini güvenlik açığı için istenen koruma düzeyini ayarlamanıza olanak tanır. Bu ayar için önerilen durum: Enabled: Force Updated Clients .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle İşletim sistemi: WS2016, WS2019 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Credentials Delegation\Encryption Oracle Düzeltmesi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (Kayıt Defteri) |
Kritik |
'Kayıt defteri ilkesi işlemeyi yapılandırma: Düzenli arka plan işleme sırasında uygulamayın' seçeneğinin 'Etkin: YANLIŞ' olarak ayarlandığından emin olun (CCE-36169-1) |
Açıklama: "Düzenli arka plan işleme sırasında uygulamayın" seçeneği, bilgisayarın kullanımda olduğu sırada sistemin etkilenen ilkeleri arka planda güncelleştirmesini engeller. Arka plan güncelleştirmeleri devre dışı bırakıldığında, bir sonraki kullanıcı oturum açma veya sistem yeniden başlatma işlemine kadar ilke değişiklikleri geçerli olmaz. Bu ayar için önerilen durum: Enabled: FALSE (işaretlenmemiş).Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın ve ardından seçeneğini TRUE (işaretli) olarak ayarlayınProcess even if the Group Policy objects have not changed :Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Grup İlkesi\Kayıt defteri ilkesi işlemeyi yapılandırma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu GroupPolicy.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (Kayıt Defteri) |
Kritik |
'Kayıt defteri ilkesi işlemeyi yapılandırma: Grup İlkesi nesneleri değişmemiş olsa bile işlem' seçeneğinin 'Etkin: TRUE' olarak ayarlandığından emin olun (CCE-36169-1a) |
Açıklama: "Grup İlkesi nesneleri değişmemiş olsa bile işle" seçeneği, ilkeler değişmemiş olsa bile ilkeleri güncelleştirir ve yeniden gerçekleştirir. Bu ayar için önerilen durum: Enabled: TRUE (işaretli).Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın ve ardından 'Grup İlkesi nesneleri değişmese bile işlem' seçeneğini 'TRUE' (işaretli) olarak ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Grup İlkesi\Kayıt defteri ilkesi işlemeyi yapılandırma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'GroupPolicy.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.21.3 |
= 0 (Kayıt Defteri) |
Kritik |
'Bu cihazdaki deneyimlere devam et' seçeneğinin 'Devre dışı' olarak ayarlandığından emin olun (AZ-WIN-00170) |
Açıklama: Bu ilke ayarı, Windows cihazının cihazlar arası deneyimlere (deneyimlere devam et) katılmasına izin verilip verilmeyeceğini belirler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bu cihazda Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Group Policy\Continue deneyimleri Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 10 Release 1607 & Server 2016 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'GroupPolicy.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.21.4 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Etki alanına katılmış bilgisayarlarda yerel kullanıcıları listeleme (AZ_WIN_202204) |
Açıklama: Bu ilke ayarı, yerel kullanıcıların etki alanına katılmış bilgisayarlarda numaralandırılmasını sağlar. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Logon\Etki alanına katılmış bilgisayarlarda yerel kullanıcıları listeleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
İşlem oluşturma olaylarına komut satırı ekle (CCE-36925-6) |
Açıklama: Bu ilke ayarı, yeni bir işlem oluşturulduğunda güvenlik denetimi olaylarında hangi bilgilerin günlüğe kaydedileceğini belirler. Bu ayar yalnızca Denetim İşlemi Oluşturma ilkesi etkinleştirildiğinde geçerlidir. Bu ilke ayarını etkinleştirirseniz, her işlemin komut satırı bilgileri, bu ilke ayarının uygulandığı iş istasyonlarında ve sunucularda 4688 Denetim İşlemi Oluşturma olayının ("yeni bir işlem oluşturuldu" ) bir parçası olarak güvenlik olay günlüğüne düz metin olarak kaydedilir. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, işlemin komut satırı bilgileri Denetim İşlemi Oluşturma olaylarına dahil edilmeyecektir. Varsayılan: Yapılandırılmadı Not: Bu ilke ayarı etkinleştirildiğinde, güvenlik olaylarını okuma erişimi olan tüm kullanıcılar başarıyla oluşturulan tüm işlemler için komut satırı bağımsız değişkenlerini okuyabilir. Komut satırı bağımsız değişkenleri parolalar veya kullanıcı verileri gibi hassas veya özel bilgiler içerebilir. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled İşletim sistemi: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Audit Process Creation\Include komut satırı Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'Audit Ayarlar.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.3.1 |
= 1 (Kayıt Defteri) |
Kritik |
İnternet'ten cihaz meta verilerinin alınmasını engelleme (AZ-WIN-202251) |
Açıklama: Bu ilke ayarı, Windows'un İnternet'ten cihaz meta verilerini almasını engellemenizi sağlar. Bu ayar için önerilen durum: Enabled . Not: Bu, temel donanım sürücülerinin yüklenmesini engellemez, ancak ilişkili 3. taraf yardımcı program yazılımının hesap bağlamında otomatik olarak yüklenmesini SYSTEM engeller.Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Device Installation\İnternet'ten cihaz meta verilerinin alınmasını engelle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (Kayıt Defteri) |
Bilgi |
Uzak konak, dışarı aktarılamayan kimlik bilgilerinin temsil edilmesini sağlar (AZ-WIN-20199) |
Açıklama: Uzak konak, dışarı aktarılamayan kimlik bilgilerinin temsil edilmesini sağlar. Kimlik bilgisi temsilcisi kullanılırken, cihazlar uzak ana bilgisayara kimlik bilgilerinin dışarı aktarılabilir bir sürümünü sağlar. Bu, kullanıcıları uzak konak üzerindeki saldırganlardan kimlik bilgisi hırsızlığı riskiyle karşı karşıya bırakır. Kısıtlı Yönetici Modu ve Windows Defender Remote Credential Guard özellikleri, bu risklere karşı korunmaya yardımcı olmak için iki seçenek sunar. Bu ayar için önerilen durum: Enabled . Not: Windows Defender Remote Credential Guard hakkında daha ayrıntılı bilgi ve Kısıtlı Yönetici Modu ile karşılaştırması şu bağlantıda bulunabilir: Windows Defender Remote Credential Guard (Windows 10) ile Uzak Masaüstü kimlik bilgilerini koruma | Microsoft DocsAnahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds İşletim sistemi: WS2016, WS2019 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Credentials Delegation\Uzak konak dışarı aktarılamayan kimlik bilgilerinin temsil edilmesini sağlar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (Kayıt Defteri) |
Kritik |
Kilit ekranında uygulama bildirimlerini kapatma (CCE-35893-7) |
Açıklama: Bu ilke ayarı, uygulama bildirimlerinin kilit ekranında görünmesini engellemenizi sağlar. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Logon\Kilit ekranında uygulama bildirimlerini kapatma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'Logon.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.28.5 |
= 1 (Kayıt Defteri) |
Uyarı |
Grup İlkesi'nin arka plan yenilemesini kapatma (CCE-14437-8) |
Açıklama: Bu ilke ayarı, bilgisayar kullanımdayken Grup İlkesi'nin güncelleştirilmesini engeller. Bu ilke ayarı bilgisayarlar, kullanıcılar ve Etki Alanı Denetleyicileri için Grup İlkesi için geçerlidir. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Grup İlkesi\Grup İlkesi'nin arka plan yenilemesini kapatma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (Kayıt Defteri) |
Uyarı |
YAZDıRMA sürücülerinin HTTP üzerinden indirilmesini kapatma (CCE-36625-2) |
Açıklama: Bu ilke ayarı, bilgisayarın HTTP üzerinden yazdırma sürücüsü paketlerini indirip indiremeyeceğini denetler. HTTP yazdırmayı ayarlamak için, standart işletim sistemi yüklemesinde bulunmayan yazıcı sürücülerinin HTTP üzerinden indirilmesi gerekebilir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPdownload İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Internet Communication Management\Internet Communication settings\HTTP üzerinden yazdırma sürücülerinin indirilmesini kapatma Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'ICM.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.22.1.1 |
= 1 (Kayıt Defteri) |
Uyarı |
URL bağlantısı Microsoft.com başvuruda bulunuysa Internet Bağlan ion Sihirbazı'nı kapatın (CCE-37163-3) |
Açıklama: Bu ilke ayarı, İnternet Bağlan Sihirbazı'nın İnternet Servis Sağlayıcılarının (ISS) listesini indirmek için Microsoft'a bağlanıp bağlanamayacağını belirtir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Internet Bağlan ion Wizard\ExitOnMSICW İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:BILGISAYAR Yapılandırması\İlkeler\Yönetici istrative Templates\System\Internet Communication Management\Internet Communication settings\URL bağlantısı Microsoft.com başvuruda bulunuysa Internet Bağlan ion Sihirbazı'nı kapatın Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'ICM.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.22.1.4 |
= 1 (Kayıt Defteri) |
Uyarı |
Kolay PIN oturum açma özelliğini açma (CCE-37528-7) |
Açıklama: Bu ilke ayarı, etki alanı kullanıcılarının kolay bir PIN kullanarak oturum açıp açamayacağını denetlemenize olanak tanır. Windows 10'da kolaylık PIN'i daha güçlü güvenlik özelliklerine sahip Passport ile değiştirildi. Etki alanı kullanıcıları için Passport'u yapılandırmak için Bilgisayar yapılandırması\Yönetici istrative Templates\Windows Components\Microsoft Passport for Work altındaki ilkeleri kullanın. Not: Bu özellik kullanılırken kullanıcının etki alanı parolası sistem kasasında önbelleğe alınır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\System\Logon\Kolay PIN oturum açma özelliğini açma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu CredentialProviders.admx/adml tarafından sağlanır.Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta PIN oturum açma özelliğini aç olarak adlandırılmıştır, ancak Windows 10 Sürüm 1511 Yönetici istrative Templates ile başlayarak yeniden adlandırılmıştır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Yönetici Istrative Şablonları - Windows Bileşeni
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Bulut tüketici hesabı durum içeriğini kapatma (AZ-WIN-202217) |
Açıklama: Bu ilke ayarı, tüm Windows deneyimlerinde bulut tüketici hesabı durum içeriğine izin verilip verilmeyeceğini belirler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Cloud Content\Bulut tüketici hesabı durum içeriğini kapatma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Yönetici Strative Templates - Windows Bileşenleri
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Sürücü yeniden yönlendirmesine izin verme (AZ-WIN-73569) |
Açıklama: Bu ilke ayarı, kullanıcıların istemci bilgisayarlarındaki yerel sürücüleri eriştikleri Uzak Masaüstü Sunucularına paylaşmalarını engeller. Eşlenen sürücüler, Windows Gezgini'ndeki oturum klasörü ağacında şu biçimde görünür: \\TSClient\<driveletter>$ Yerel sürücüler paylaşılıyorsa, bu sürücüler, kendilerinde depolanan verilerden yararlanmak isteyen davetsiz misafirlere karşı savunmasız kalır. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Cihaz ve Kaynak Yeniden Yönlendirme\Sürücü yeniden yönlendirmesine izin verme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (Kayıt Defteri) |
Uyarı |
PowerShell Transkripsiyon'u açma (AZ-WIN-202208) |
Açıklama: Bu İlke ayarı, Windows PowerShell komutlarının giriş ve çıkışını metin tabanlı transkriptler halinde yakalamanıza olanak tanır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows PowerShell\PowerShell Transkripsiyonu'nu açma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (Kayıt Defteri) |
Uyarı |
Yönetici istrative Templates - Windows Güvenliği
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kullanıcıların ayarları değiştirmesini engelleme (AZ-WIN-202209) |
Açıklama: Bu ilke ayarı, kullanıcıların Windows Güvenliği ayarlarındaki Exploit protection ayarları alanında değişiklik yapmasını engeller. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender Güvenlik Merkezi\Uygulama ve Tarayıcı koruması\DisallowExploitProtectionOverride İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Güvenliği\Uygulama ve tarayıcı koruması\Kullanıcıların ayarları değiştirmesini engelleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Yönetici istrative şablonu - Windows Defender
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Saldırı Yüzeyi Azaltma kurallarını yapılandırma (AZ_WIN_202205) |
Açıklama: Bu ilke ayarı, Saldırı Yüzeyi Azaltma (ASR) kurallarının durumunu denetler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Microsoft Defender Exploit Guard\Saldırı Yüzeyi Azaltma\Saldırı Yüzeyi Azaltma kurallarını yapılandırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Kullanıcıların ve uygulamaların tehlikeli web sitelerine erişmesini engelleme (AZ_WIN_202207) |
Açıklama: Bu ilke ayarı Microsoft Defender Exploit Guard ağ korumasını denetler. Bu ayar için önerilen durum: Enabled: Block .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Microsoft Defender Exploit Guard\Network Protection\Kullanıcıların ve uygulamaların tehlikeli web sitelerine erişmesini engelleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Bilgisayar Hesabı Yönetimini Denetleme
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Bilgisayar Hesabı Yönetimini Denetleme (CCE-38004-8) |
Açıklama: Bu alt kategori, bilgisayar hesabı oluşturulduğunda, değiştirildiğinde, silindiğinde, yeniden adlandırıldığında, devre dışı bırakıldığında veya etkinleştirildiğinde bilgisayar hesabı yönetiminin her olayını raporlar. Bu alt kategori için olaylar şunlardır: - 4741: Bir bilgisayar hesabı oluşturuldu. - 4742: Bir bilgisayar hesabı değiştirildi. - 4743: Bir bilgisayar hesabı silindi. Bu ayar için önerilen durum şunlardır: Success .Anahtar Yolu: {0CCE9236-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Hesap Yönetimi\Bilgisayar Hesabı Yönetimini Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Başarı (Denetim) |
Kritik |
Güvenli Çekirdek
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Önyükleme DMA korumasını etkinleştirme (AZ-WIN-202250) |
Açıklama: Güvenli çekirdek özellikli sunucular, önyükleme işlemi sırasında tüm DMA özellikli cihazlar için kötü amaçlı ve istenmeyen Doğrudan Bellek Erişimi (DMA) saldırılarına karşı koruma sağlayan sistem üretici yazılımını destekler. Anahtar Yolu: BootDMAProtection OSEx: WSASHCI22H2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NA Uyumluluk Standart Eşlemeleri: |
= 1 (OsConfig) |
Kritik |
Hiper yönetici zorunlu kod bütünlüğünü etkinleştirme (AZ-WIN-202246) |
Açıklama: HVCI ve VBS, Windows'un tehdit modelini geliştirir ve Windows Çekirdeğinden yararlanmaya çalışan kötü amaçlı yazılımlara karşı daha güçlü korumalar sağlar. HVCI, vbs tarafından oluşturulan yalıtılmış sanal ortamı, içinde çekirdek modu kod bütünlüğünü çalıştırarak ve sistemin güvenliğini aşmak için kullanılabilecek çekirdek bellek ayırmalarını kısıtlayarak koruyan ve sağlamlaştıran kritik bir bileşendir. Anahtar Yolu: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NA Uyumluluk Standart Eşlemeleri: |
= 0 (OsConfig) |
Kritik |
Güvenli önyüklemeyi etkinleştirme (AZ-WIN-202248) |
Açıklama: Güvenli önyükleme, bir cihazın yalnızca Orijinal Donanım Üreticisi (OEM) tarafından güvenilen yazılımları kullanarak önyüklendiğinden emin olmak için bilgisayar sektörünün üyeleri tarafından geliştirilen bir güvenlik standardıdır. Anahtar Yolu: SecureBootState OSEx: WSASHCI22H2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NA Uyumluluk Standart Eşlemeleri: |
= 1 (OsConfig) |
Kritik |
System Guard'ı etkinleştirme (AZ-WIN-202247) |
Açıklama: Ölçüm Güveni Dinamik Kökü (DRTM) teknolojisi için işlemci desteğini kullanan System Guard, üretici yazılımını donanım tabanlı bir korumalı alana yerleştirerek milyonlarca yüksek ayrıcalıklı üretici yazılımı kodu satırlarındaki güvenlik açıklarının etkisini sınırlamaya yardımcı olur. Anahtar Yolu: SystemGuardStatus OSEx: WSASHCI22H2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NA Uyumluluk Standart Eşlemeleri: |
= 0 (OsConfig) |
Kritik |
Sanallaştırma tabanlı güvenliği etkinleştirme (AZ-WIN-202245) |
Açıklama: Sanallaştırma tabanlı güvenlik veya VBS, güvenli bir bellek bölgesi oluşturmak ve normal işletim sisteminden yalıtmak için donanım sanallaştırma özelliklerini kullanır. Bu, sunucuların kritik iş yüklerini çalıştırmaya bağlı kalmasını sağlamaya yardımcı olur ve ilgili uygulamaları ve verileri saldırı ve sızdırmaya karşı korumaya yardımcı olur. VBS, Azure Stack HCI'de varsayılan olarak etkinleştirilir ve kilitlenir. Anahtar Yolu: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NA Uyumluluk Standart Eşlemeleri: |
= 0 (OsConfig) |
Kritik |
TPM sürümünü ayarlama (AZ-WIN-202249) |
Açıklama: Güvenilen Platform Modülü (TPM) teknolojisi, donanım tabanlı, güvenlikle ilgili işlevler sağlamak üzere tasarlanmıştır. Güvenli çekirdek özellikleri için TPM2.0 gereklidir. Anahtar Yolu: TPMVersion OSEx: WSASHCI22H2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NA Uyumluluk Standart Eşlemeleri: |
2.0 içerir (OsConfig) |
Kritik |
Güvenlik Seçenekleri - Hesaplar
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Hesaplar: Blok Microsoft hesapları (AZ-WIN-202201) |
Açıklama: Bu ilke ayarı, kullanıcıların bu bilgisayara yeni Microsoft hesapları eklemesini engeller. Bu ayar için önerilen durum: Users can't add or log on with Microsoft accounts .Anahtar Yolu: Software\Microsoft\Windows\CurrentVersion\Policies\System\No Bağlan edUser İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\Security Options\Accounts: Microsoft hesaplarını engelle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (Kayıt Defteri) |
Uyarı |
Hesaplar: Yönetici hesabı durumu (CCE-37432-2) |
Açıklama: Bu ilke ayarı Konuk hesabının etkin mi yoksa devre dışı mı olduğunu belirler. Konuk hesabı, kimliği doğrulanmamış ağ kullanıcılarının sisteme erişim kazanmasını sağlar. Bu ayar için önerilen durum: Disabled . Not: Etki alanı denetleyicilerinin yerel hesap veritabanı olmadığından, bu ayar grup ilkesi aracılığıyla etki alanı denetleyicisi kuruluş birimine uygulandığında hiçbir etkisi olmaz. Hesap kilitleme ve parola ilkesi ayarlarına benzer şekilde grup ilkesi aracılığıyla etki alanı düzeyinde yapılandırılabilir.Anahtar Yolu: [Sistem Erişimi]EnableGuestAccount İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Hesaplar: Konuk hesabı durumu Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (İlke) |
Kritik |
Hesaplar: Yerel hesabın boş parola kullanmasını yalnızca konsol oturumuyla sınırla (CCE-37615-2) |
Açıklama: Bu ilke ayarı, parola korumalı olmayan yerel hesapların fiziksel bilgisayar konsolu dışındaki konumlardan oturum açmak için kullanılıp kullanılamayacağını belirler. Bu ilke ayarını etkinleştirirseniz, boş parolaları olan yerel hesaplar uzak istemci bilgisayarlardan ağda oturum açamaz. Bu tür hesaplar yalnızca bilgisayarın klavyesinde oturum açabilir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Hesaplar: Boş parolaların yerel hesap kullanımını yalnızca konsol oturumuyla sınırlayın Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Hesaplar: Konuk hesabının adını değiştirin (AZ-WIN-202255) |
Açıklama: Yerleşik yerel konuk hesabı, saldırganlar için bilinen bir diğer addır. Bu hesabı amacını belirtmeyen bir adla yeniden adlandırmak önerilir. Önerilen bu hesabı devre dışı bıraksanız bile, ek güvenlik için yeniden adlandırdığınızdan emin olun. Etki Alanı Denetleyicilerinde, kendi yerel hesapları olmadığından, bu kural etki alanı ilk oluşturulduğunda kurulan yerleşik Konuk hesabına başvurur. Anahtar Yolu: [System Access]NewGuestName İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Hesaplar: Konuk hesabını yeniden adlandırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= Konuk (İlke) |
Uyarı |
Ağ erişimi: Anonim SID/Ad çevirisine izin ver (CCE-10024-8) |
Açıklama: Bu ilke ayarı, anonim bir kullanıcının başka bir kullanıcı için güvenlik tanımlayıcısı (SID) öznitelikleri isteyip isteyemeyeceğini veya karşılık gelen kullanıcı adını almak için sid kullanıp kullanamayacağını belirler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: [Sistem Erişimi]LSAAnonymousNameLookup İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ erişimi: Anonim SID/Ad çevirisine izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (İlke) |
Uyarı |
Güvenlik Seçenekleri - Denetim
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Denetim: Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorlama (Windows Vista veya daha sonraki sürümü) (CCE-37850-5) |
Açıklama: Bu ilke ayarı, yöneticilerin Windows Vista'da mevcut olan daha hassas denetim özelliklerini etkinleştirmesine olanak tanır. Windows Server 2003 Active Directory'de kullanılabilen Denetim İlkesi ayarları henüz yeni denetim alt kategorilerini yönetme ayarlarını içermez. Bu temelde belirtilen denetim ilkelerini düzgün bir şekilde uygulamak için Denetim ilkesi kategori ayarlarını geçersiz kılmak için Denetim: Denetim ilkesi alt kategori ayarlarını (Windows Vista veya üzeri) zorlama ayarının Etkin olarak yapılandırılması gerekir. Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Denetim: Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategorisi ayarlarını (Windows Vista veya üzeri) zorla Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.2.1 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Denetim: Güvenlik denetimleri günlüğe alınamıyorsa sistemi hemen kapat (CCE-35907-5) |
Açıklama: Bu ilke ayarı, güvenlik olaylarını günlüğe kaydedemediğinde sistemin kapatılıp kapatılmayacağını belirler. Denetim sistemi bunları günlüğe kaydedemediğinde denetlenebilir olayların oluşmasını önlemek için Güvenilen Bilgisayar Sistemi Değerlendirme Ölçütleri (TCSEC)-C2 ve Ortak Ölçüt sertifikasyonu için bir gereksinimdir. Microsoft, denetim sistemi bir hatayla karşılaşırsa sistemi durdurup bir durdurma iletisi görüntüleyerek bu gereksinimi karşılamayı seçti. Bu ilke ayarı etkinleştirildiğinde, herhangi bir nedenle bir güvenlik denetimi günlüğe kaydedilemezse sistem kapatılır. Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapatın ayarı etkinleştirilirse, planlanmamış sistem hataları oluşabilir. Özellikle De Güvenlik günlüğü için Bekletme yöntemini Olayların üzerine yazma (günlüğü el ile temizle) olarak yapılandırdıysanız, yönetim yükü önemli olabilir. Bu yapılandırma, bir sunucunun Güvenlik günlüğüne yazılan oturum açma olayları ve diğer güvenlik olaylarıyla bunalmış olması durumunda kapanmaya zorlanabileceği için, bir reddetme tehdidinin (yedekleme operatörü verileri yedeklediğini veya geri yüklediğini reddedebilir) bir hizmet reddi (DoS) güvenlik açığına neden olur. Ayrıca kapatma düzgün olmadığından işletim sistemine, uygulamalara veya verilere onarılamaz zararlar verebilir. NTFS dosya sistemi, düzgün olmayan bir bilgisayar kapatma işlemi gerçekleştiğinde bütünlüğünü garantilese de, bilgisayar yeniden başlatıldığında her uygulama için her veri dosyasının hala kullanılabilir bir biçimde olacağını garanti edemez. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapatın Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Cihazlar
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Aygıtlar: Çıkarılabilir medyayı biçimlendirmeye ve çıkarmaya izin verildi (CCE-37701-0) |
Açıklama: Bu ilke ayarı, çıkarılabilir medyayı kimlerin biçimlendirip çıkardığını belirler. Yetkisiz kullanıcıların yerel yönetici ayrıcalıklarına sahip oldukları başka bir bilgisayarda erişmek üzere bir bilgisayardaki verileri kaldırmasını önlemek için bu ilke ayarını kullanabilirsiniz. Anahtar Yolu: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Cihazlar: Çıkarılabilir medyayı biçimlendirmeye ve çıkarmaya izin verilir Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.4.1 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Aygıtlar: Kullanıcıların yazıcı sürücüsü yüklemelerini engelle (CCE-37942-0) |
Açıklama: Bir bilgisayarın paylaşılan bir yazıcıya yazdırabilmesi için, bu paylaşılan yazıcının sürücüsü yerel bilgisayara yüklenmelidir. Bu güvenlik ayarı, paylaşılan bir yazıcıya bağlanmanın bir parçası olarak kimlerin yazıcı sürücüsü yüklemesine izin verileceğini belirler. Bu ayar için önerilen durum: Enabled . Not: Bu ayar yerel yazıcı ekleme özelliğini etkilemez. Bu ayar Yönetici istrator'ları etkilemez.Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Cihazlar: Kullanıcıların yazıcı sürücülerini yüklemesini engelleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
Yok veya = 1 (Kayıt Defteri) |
Uyarı |
Yazdırma sürücüsü yüklemesini Yönetici istrator'larla sınırlar (AZ_WIN_202202) |
Açıklama: Bu ilke ayarı, Yönetici istrator olmayan kullanıcıların yazdırma sürücülerini sisteme yükleyip yükleyemeyeceğini denetler. Bu ayar için önerilen durum: Enabled . Not: 10 Ağustos 2021'de Microsoft, Yönetici istrator ayrıcalıkları gerektirecek şekilde varsayılan Nokta ve Yazdırma sürücüsü yükleme ve güncelleştirme davranışını değiştiren bir Nokta ve Yazdırma Varsayılan Davranış Değişikliği duyurdu. Bu, KB5005652 Yeni Noktayı Yönet ve Varsayılan sürücü yükleme davranışını yazdır (CVE-2021-34481) belgelenmiştir.Anahtar Yolu: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationTo Yönetici istrators İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\MS Security Guide\Limits print driver installation to Yönetici istrators Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (Kayıt Defteri) |
Uyarı |
Güvenlik Seçenekleri - Etki alanı üyesi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
'Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifrele veya imzala (her zaman)' ayarının 'Etkin' olarak ayarlandığından emin olun (CCE-36142-8) |
Açıklama: Bu ilke ayarı, etki alanı üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması veya şifrelenmesinin gerekip gerekmediğini belirler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
'Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifrele (mümkün olduğunda)' seçeneğinin 'Etkin' olarak ayarlandığından emin olun (CCE-37130-2) |
Açıklama: Bu ilke ayarı, bir etki alanı üyesinin başlattığı tüm güvenli kanal trafiği için şifreleme anlaşması yapıp yapmayacağını belirler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Güvenlik Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme (mümkün olduğunda) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
'Etki alanı üyesi: Güvenli kanal verilerini dijital olarak imzala (mümkün olduğunda)' seçeneğinin 'Etkin' olarak ayarlandığından emin olun (CCE-37222-7) |
Açıklama: Bu ilke ayarı, bir etki alanı üyesinin başlattığı tüm güvenli kanal trafiğinin dijital olarak imzalanması gerekip gerekmediğini belirlemeye çalışıp çalışmayacağını belirler. Dijital imzalar, ağdan geçiş yapan verileri yakalayan herkes tarafından trafiğin değiştirilmesini engeller. Bu ayar için önerilen durum: 'Etkin'. Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etki alanı üyesi: Güvenli kanal verilerini dijital olarak imzala (mümkün olduğunda) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
'Etki alanı üyesi: Makine hesabı parola değişikliklerini devre dışı bırak' ayarının 'Devre dışı' olarak ayarlandığından emin olun (CCE-37508-9) |
Açıklama: Bu ilke ayarı, bir etki alanı üyesinin bilgisayar hesabı parolasını düzenli aralıklarla değiştirip değiştiremeyeceğini belirler. Bir saldırgan sistemin etki alanı hesabının parolasını belirleyebileceğinden, hesap parolalarını otomatik olarak değiştiremeyen bilgisayarlar güvenlik açığına maruz kalabilir. Bu ayar için önerilen durum: 'Devre dışı'. Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etki alanı üyesi: Makine hesabı parola değişikliklerini devre dışı bırakma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
'Etki alanı üyesi: En fazla makine hesabı parola yaşı' değerinin '30 veya daha az gün' olarak ayarlandığından, ancak 0 olarak ayarlanmadığından emin olun (CCE-37431-4) |
Açıklama: Bu ilke ayarı, bir bilgisayar hesabı parolası için izin verilen yaş üst sınırını belirler. Varsayılan olarak, etki alanı üyeleri etki alanı parolalarını her 30 günde bir otomatik olarak değiştirir. Bilgisayarların parolalarını değiştirmemesi için bu aralığı önemli ölçüde artırırsanız, saldırgan bilgisayar hesaplarından birine karşı deneme yanılma saldırısı gerçekleştirmek için daha fazla zamana sahip olur. Bu ayar için önerilen durum: 30 or fewer days, but not 0 . Not: Değeri 0 , en fazla parola yaşını devre dışı bırakması nedeniyle karşılaştırmaya uymaz.Anahtar Yolu: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak 30 or fewer days, but not 0 ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etki alanı üyesi: Makine hesabı parola yaşı üst sınırı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
1-30 arası (Kayıt Defteri) |
Kritik |
'Etki alanı üyesi: Güçlü (Windows 2000 veya üzeri) oturum anahtarı iste' seçeneğinin 'Etkin' olarak ayarlandığından emin olun (CCE-37614-5) |
Açıklama: Bu ilke ayarı etkinleştirildiğinde, güvenli kanal yalnızca güvenli kanal verilerini güçlü (128 bit) oturum anahtarıyla şifreleyebilen Etki Alanı Denetleyicileri ile oluşturulabilir. Bu ilke ayarını etkinleştirmek için, etki alanındaki tüm Etki Alanı Denetleyicilerinin güvenli kanal verilerini güçlü bir anahtarla şifreleyebilmesi gerekir. Bu, tüm Etki Alanı Denetleyicilerinin Microsoft Windows 2000 veya daha yeni bir sürümünü çalıştırması gerektiği anlamına gelir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etki alanı üyesi: Güçlü (Windows 2000 veya üzeri) oturum anahtarı gerektir Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Etkileşimli Oturum Açma
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Oturum açma kimlik bilgilerinin Önbelleğe Alma sınırlı olmalıdır (AZ-WIN-73651) |
Açıklama: Bu ilke ayarı, kullanıcının önbelleğe alınmış hesap bilgilerini kullanarak bir Windows etki alanında oturum açıp açamayacağını belirler. Etki alanı hesapları için oturum açma bilgileri, etki alanı denetleyicisiyle bağlantı kurulamasa bile kullanıcıların oturum açmasına izin vermek için yerel olarak önbelleğe alınabilir. Bu ilke ayarı, oturum açma bilgilerinin yerel olarak önbelleğe alındığı benzersiz kullanıcı sayısını belirler. Bu değer 0 olarak ayarlanırsa oturum açma önbelleği özelliği devre dışı bırakılır. Sunucunun dosya sistemine erişebilen bir saldırgan bu önbelleğe alınmış bilgileri bulabilir ve kullanıcı parolalarını belirlemek için deneme yanılma saldırısı kullanabilir. Bu ayar için önerilen durum: 4 or fewer logon(s) .Anahtar Yolu: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: Önbelleğe alınabilecek önceki oturum açma sayısı (etki alanı denetleyicisinin kullanılabilir olmaması durumunda) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
1-4 arası (Kayıt Defteri) |
Bilgi |
Etkileşimli oturum açma: Son kullanıcı adını görüntüleme (CCE-36056-0) |
Açıklama: Bu ilke ayarı, kuruluşunuzdaki istemci bilgisayarlarda oturum açan son kullanıcının hesap adının her bilgisayarın ilgili Windows oturum açma ekranında görüntülenip görüntülenmeyeceğini belirler. Davetsiz misafirlerin kuruluşunuzdaki masaüstü veya dizüstü bilgisayar ekranlarından hesap adlarını görsel olarak toplamasını önlemek için bu ilke ayarını etkinleştirin. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: Son oturum açmayı görüntüleme Not: Microsoft Windows'un eski sürümlerinde bu ayar Etkileşimli oturum açma olarak adlandırıldı : Soyadını görüntüleme, ancak Windows Server 2019'dan başlayarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (Kayıt Defteri) |
Kritik |
Etkileşimli oturum açma: CTRL+ALT+DEL gerektirme (CCE-37637-6) |
Açıklama: Bu ilke ayarı, kullanıcıların oturum açmadan önce CTRL+ALT+DEL tuşlarına basıp basmayacağını belirler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: CTRL+ALT+DEL gerektirmez Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Etkileşimli oturum açma: Makinede etkinlik yapılmama süresi sınırı (AZ-WIN-73645) |
Açıklama: Windows oturum açma oturumunun etkinlik dışı olduğunu fark eder ve etkin olmayan zaman miktarı etkinlik dışı kalma sınırını aşarsa, ekran koruyucu çalıştırılır ve oturum kilitlenir. Bu ayar için önerilen durum: 900 or fewer second(s), but not 0 . Not: değeri 0 , makine etkinlik dışı kalma sınırını devre dışı bırakması nedeniyle karşılaştırmaya uymaz.Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Güvenlik Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: Makine etkinlik dışı sınırı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
1-900 arası (Kayıt Defteri) |
Önemli |
Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti metni (AZ-WIN-202253) |
Açıklama: Bu ilke ayarı, kullanıcılara oturum açtıklarında görüntülenecek bir metin iletisi belirtir. Bu ayarı, kuruluşunuzun güvenlik ve operasyonel gereksinimleriyle tutarlı bir şekilde yapılandırın. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti metni Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (Kayıt Defteri) |
Uyarı |
Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti başlığı (AZ-WIN-202254) |
Açıklama: Bu ilke ayarı, kullanıcıların sistemde oturum açtıklarında gördüğü pencerenin başlık çubuğunda görüntülenen metni belirtir. Bu ayarı, kuruluşunuzun güvenlik ve operasyonel gereksinimleriyle tutarlı bir şekilde yapılandırın. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti başlığı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (Kayıt Defteri) |
Uyarı |
Etkileşimli oturum açma: Süre sonuna gelmeden önce kullanıcının parolasını değiştirmesini iste (CCE-10930-6) |
Açıklama: Bu ilke ayarı, kullanıcıların parolalarının süresinin dolacağı konusunda ne kadar önceden uyarılacağını belirler. Parolalarının süresi dolduğunda kullanıcıları yeterince uyarmak için bu ilke ayarını en az 5 gün ancak en fazla 14 gün olacak şekilde yapılandırmanız önerilir. Bu ayar için önerilen durum: between 5 and 14 days .Anahtar Yolu: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Güvenlik Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Etkileşimli oturum açma: Süre dolmadan önce kullanıcıdan parola değiştirmesini iste Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
5-14 arası (Kayıt Defteri) |
Bilgi |
Güvenlik Seçenekleri - Microsoft Ağ İstemcisi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) (CCE-36325-9) |
Açıklama: Bu ilke ayarı, SMB istemci bileşeni için paket imzalama gerekip gerekmediğini belirler. Not: Windows Vista tabanlı bilgisayarlarda bu ilke ayarı etkinleştirildiğinde ve uzak sunuculardaki dosya veya yazdırma paylaşımlarına bağlandıklarında, ayarın bu sunuculardaki microsoft ağ sunucusu: İletişimleri (her zaman) dijital olarak imzala ayarıyla eşitlenmesi önemlidir. Bu ayarlar hakkında daha fazla bilgi için Tehditler ve Karşı Önlemler kılavuzunun 5. Bölümündeki "Microsoft ağ istemcisi ve sunucusu: İletişimleri dijital olarak imzala (dört ilgili ayar)" bölümüne bakın. Bu ayar için önerilen durum: 'Etkin'. Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (Kayıt Defteri) |
Kritik |
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) (CCE-36269-9) |
Açıklama: Bu ilke ayarı, SMB istemcisinin SMB paket imzalama anlaşması yapmaya çalışıp çalışmayacağını belirler. Not: Ağınızdaki SMB istemcilerinde bu ilke ayarının etkinleştirilmesi, bunları ortamınızdaki tüm istemciler ve sunucularla paket imzalama için tam olarak etkili hale getirir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\Security Options\Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Microsoft ağ istemcisi: Üçüncü taraf SMB sunucularına şifrelenmemiş parola gönder (CCE-37863-8) |
Açıklama: Bu ilke ayarı, SMB yeniden yönlendiricisinin kimlik doğrulaması sırasında parola şifrelemeyi desteklemeyen üçüncü taraf SMB sunucularına düz metin parolalar gönderip göndermeyeceğini belirler. Etkinleştirmek için güçlü bir iş durumu olmadığı sürece bu ilke ayarını devre dışı bırakmanız önerilir. Bu ilke ayarı etkinleştirilirse ağ genelinde şifrelenmemiş parolalara izin verilir. Bu ayar için önerilen durum: 'Devre dışı'. Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Microsoft ağ istemcisi: Üçüncü taraf SMB sunucularına şifrelenmemiş parola gönderme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Microsoft ağ sunucusu: Oturumu askıya almadan önce gerekli olan boşta kalma süresi (CCE-38046-9) |
Açıklama: Bu ilke ayarı, etkin olmama nedeniyle oturum askıya alınmadan önce bir SMB oturumunda geçmesi gereken sürekli boşta kalma süresi miktarını belirtmenize olanak tanır. Yönetici istrator'lar, bilgisayarın etkin olmayan SMB oturumlarını ne zaman askıya alabileceğini denetlemek için bu ilke ayarını kullanabilir. İstemci etkinliği devam ederse oturum otomatik olarak yeniden başlatılır. Oturumların süresiz olarak kalıcı olmasına izin vermek için 0 değeri görünür. Maksimum değer 99999'dır ve bu değer 69 günden fazladır; bu değer ayarı devre dışı bırakır. Bu ayar için önerilen durum: 15 or fewer minute(s), but not 0 .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak 15 or fewer minute(s) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Microsoft ağ sunucusu: Oturumu askıya almadan önce gereken boşta kalma süresi miktarı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.9.1 |
1-15 arası (Kayıt Defteri) |
Kritik |
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) (CCE-37864-6) |
Açıklama: Bu ilke ayarı, SMB sunucu bileşeni için paket imzalama gerekip gerekmediğini belirler. Aşağı akış istemcilerinin iş istasyonunu ağ sunucusu olarak kullanmasını önlemek için bu ilke ayarını karma bir ortamda etkinleştirin. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\Security Options\Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (Kayıt Defteri) |
Kritik |
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse) (CCE-35988-5) |
Açıklama: Bu ilke ayarı, SMB sunucusunun bunu isteyen istemcilerle SMB paket imzalama anlaşması yapıp yapmayacağını belirler. İstemciden imzalama isteği gelmezse, Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) ayarı etkin değilse imza olmadan bir bağlantıya izin verilir. Not: Ağınızdaki SMB istemcilerinde bu ilke ayarını etkinleştirerek ortamınızdaki tüm istemciler ve sunucularla paket imzalama için tam etkili olmasını sağlayın. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\Security Options\Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (Kayıt Defteri) |
Kritik |
Microsoft ağ sunucusu: Oturum açma saati sona erdiğinde istemcilerin bağlantısını kes (CCE-37972-7) |
Açıklama: Bu güvenlik ayarı, kullanıcı hesabının geçerli oturum açma saatleri dışında yerel bilgisayara bağlı kullanıcıların bağlantısının kesilip kesilmeyeceğini belirler. Bu ayar, Sunucu İleti Bloğu (SMB) bileşenini etkiler. Bu ilke ayarını etkinleştirirseniz, Oturum açma saatlerinin süresi dolduğunda Ağ güvenliği: Oturumu kapatmaya zorla ayarını da etkinleştirmeniz gerekir (Kural 2.3.11.6). Kuruluşunuz kullanıcılar için oturum açma saatlerini yapılandırıyorsa, etkili olduklarından emin olmak için bu ilke ayarı gereklidir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\Security Options\Microsoft ağ sunucusu: Oturum açma saatleri sona erdiğinde istemcilerin bağlantısını kesin Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Microsoft ağ sunucusu: Sunucu SPN hedef adı doğrulama düzeyi (CCE-10617-9) |
Açıklama: Bu ilke ayarı, sunucu ileti bloğu (SMB) protokolünün kullanıldığı bir oturum oluşturduğunda istemci bilgisayar tarafından sağlanan hizmet asıl adı (SPN) üzerinde paylaşılan klasörler veya yazıcılar (sunucu) bulunan bir bilgisayarın doğrulama düzeyini denetler. Sunucu ileti bloğu (SMB) protokolü, dosya ve yazdırma paylaşımı ile uzak Windows yönetimi gibi diğer ağ işlemleri için temel sağlar. SMB protokolü, SMB geçişi saldırıları olarak adlandırılan SMB sunucularına yönelik bir saldırı sınıfını önlemek için SMB istemcisi tarafından sağlanan kimlik doğrulama blobu içinde SMB sunucusu hizmet asıl adını (SPN) doğrulamayı destekler. Bu ayar hem SMB1 hem de SMB2'yi etkiler. Bu ayar için önerilen durum: Accept if provided by client . Bu ayarın karşılaştırmaya Required from client uygun şekilde yapılandırılması da gerekir. Not: MS KB3161561 güvenlik düzeltme ekinin yayımlanmasından bu yana, bu ayar UNC yolu sağlamlaştırma (kural 18.5.14.1 gibi) ile aynı anda kullanıldığında Etki Alanı Denetleyicilerinde önemli sorunlara (çoğaltma sorunları, grup ilkesi düzenleme sorunları ve mavi ekran kilitlenmeleri gibi) neden olabilir. Bu nedenle CIS, bu ayarın Etki Alanı Denetleyicilerine dağıtılmasına karşı öneride bulunur.Anahtar Yolu: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\Security Options\Microsoft ağ sunucusu: Sunucu SPN hedef adı doğrulama düzeyi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (Kayıt Defteri) |
Uyarı |
Güvenlik Seçenekleri - Microsoft Ağ Sunucusu
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
SMB v1 sunucusunu devre dışı bırakma (AZ-WIN-00175) |
Açıklama: Bu ayarın devre dışı bırakılması SMBv1 protokolünün sunucu tarafı işlenmesini devre dışı bırakır. (Önerilir.) Bu ayarın etkinleştirilmesi, SMBv1 protokolünün sunucu tarafında işlenmesini sağlar. (Varsayılan.) Bu ayarda yapılan değişiklikler, yeniden başlatmanın etkili olmasını gerektirir. Daha fazla bilgi için bkz. https://support.microsoft.com/kb/2696547 Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Uygulanamaz Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.3.3 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Ağ Erişimi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Hesaplar: Yönetici hesabının adını değiştirin (CCE-10976-9) |
Açıklama: Yerleşik yerel yönetici hesabı, saldırganların hedefleyecekleri iyi bilinen bir hesap adıdır. Bu hesap için başka bir ad seçmeniz ve yönetici veya yükseltilmiş erişim hesaplarını belirten adlardan kaçınmanızı öneririz. Yerel yöneticinin varsayılan açıklamasını da değiştirdiğinizden emin olun (Bilgisayar Yönetimi konsolu aracılığıyla). Etki Alanı Denetleyicilerinde, kendi yerel hesapları olmadığından, bu kural etki alanı ilk oluşturulduğunda oluşturulan yerleşik Yönetici istrator hesabına başvurur. Anahtar Yolu: [System Access]New Yönetici istratorName İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Hesaplar: Yönetici hesabını yeniden adlandırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= Yönetici istrator (İlke) |
Uyarı |
Ağ erişimi: SAM hesaplarının anonim numaralandırmasına izin verme (CCE-36316-8) |
Açıklama: Bu ilke ayarı, anonim kullanıcıların Güvenlik Hesapları Yöneticisi'nde (SAM) hesapları listeleme becerisini denetler. Bu ilke ayarını etkinleştirirseniz, anonim bağlantıları olan kullanıcılar ortamınızdaki sistemlerde etki alanı hesabı kullanıcı adlarını numaralandıramaz. Bu ilke ayarı anonim bağlantılarda ek kısıtlamalara da olanak tanır. Bu ayar için önerilen durum: Enabled . Not: Bu ilkenin etki alanı denetleyicileri üzerinde hiçbir etkisi yoktur.Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork erişimi: SAM hesaplarının anonim numaralandırmasına izin verme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.2 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Ağ erişimi: SAM hesaplarının ve paylaşımlarının anonim numaralandırmasına izin verme (CCE-36077-6) |
Açıklama: Bu ilke ayarı, anonim kullanıcıların SAM hesaplarını ve paylaşımları listeleme becerisini denetler. Bu ilke ayarını etkinleştirirseniz, anonim kullanıcılar ortamınızdaki sistemlerde etki alanı hesabı kullanıcı adlarını ve ağ paylaşımı adlarını numaralandıramaz. Bu ayar için önerilen durum: Enabled . Not: Bu ilkenin etki alanı denetleyicileri üzerinde hiçbir etkisi yoktur.Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork erişimi: SAM hesaplarının ve paylaşımlarının anonim numaralandırılmasına izin verme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.3 |
= 1 (Kayıt Defteri) |
Kritik |
Ağ erişimi: Anonim kullanıcılara Everyone izinleri uygulansın (CCE-36148-5) |
Açıklama: Bu ilke ayarı, bilgisayara anonim bağlantılar için hangi ek izinlerin atandığını belirler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ erişimi: Anonim kullanıcılara Herkes izinlerinin uygulanmasına izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Ağ erişimi: Uzaktan erişilebilir kayıt defteri yolları (CCE-37194-8) |
Açıklama: Bu ilke ayarı, yollara erişim izinlerini belirlemek için WinReg anahtarına başvurduktan sonra hangi kayıt defteri yollarının erişilebilir olacağını belirler. Not: Bu ayar Windows XP'de yoktur. Windows XP'de bu ada sahip bir ayar vardı, ancak buna Windows Server 2003, Windows Vista ve Windows Server 2008'de "Ağ erişimi: Uzaktan erişilebilir kayıt defteri yolları ve alt yolları" adı verilir. Not: Bu ayarı yapılandırdığınızda, bir veya daha fazla nesnenin listesini belirtirsiniz. Listeye girerken kullanılan sınırlayıcı bir satır beslemesi veya satır başıdır, yani listedeki ilk nesneyi yazın, Enter düğmesine basın, sonraki nesneyi yazın, yeniden Enter tuşuna basın vb. Ayar değeri, grup ilkesi güvenlik şablonlarında virgülle ayrılmış bir liste olarak depolanır. Ayrıca, Grup İlkesi Düzenleyicisi'nin görüntüleme bölmesinde ve İlke Sonuç Kümesi konsolunda virgülle ayrılmış bir liste olarak işlenir. Kayıt defterine REG_MULTI_SZ bir değerde satır akışı sınırlandırılmış listesi olarak kaydedilir. Anahtar Yolu: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak ayarlayın: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ erişimi: Uzaktan erişilebilir kayıt defteri yolları Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.8 |
Yok veya = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (Kayıt Defteri) |
Kritik |
Ağ erişimi: Uzaktan erişilebilir kayıt defteri yolları ve alt yollar (CCE-36347-3) |
Açıklama: Bu ilke ayarı, erişim izinlerini belirlemek için bir uygulama veya işlem WinReg anahtarına başvurduğunda hangi kayıt defteri yollarının ve alt yolların erişilebilir olacağını belirler. Not: Windows XP'de bu ayar "Ağ erişimi: Uzaktan erişilebilir kayıt defteri yolları" olarak adlandırılır. Windows Vista, Windows Server 2008 ve Windows Server 2003'te aynı ada sahip ayar Windows XP'de mevcut değildir. Not: Bu ayarı yapılandırdığınızda, bir veya daha fazla nesnenin listesini belirtirsiniz. Listeye girerken kullanılan sınırlayıcı bir satır beslemesi veya satır başıdır, yani listedeki ilk nesneyi yazın, Enter düğmesine basın, sonraki nesneyi yazın, yeniden Enter tuşuna basın vb. Ayar değeri, grup ilkesi güvenlik şablonlarında virgülle ayrılmış bir liste olarak depolanır. Ayrıca, Grup İlkesi Düzenleyicisi'nin görüntüleme bölmesinde ve İlke Sonuç Kümesi konsolunda virgülle ayrılmış bir liste olarak işlenir. Kayıt defterine REG_MULTI_SZ bir değerde satır akışı sınırlandırılmış listesi olarak kaydedilir. Anahtar Yolu: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak ayarlayın: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork erişimi: Uzaktan erişilebilir kayıt defteri yolları ve alt yollar Bir sunucu, Sertifika Yetkilisi Rol Hizmeti ile Active Directory Sertifika Hizmetleri Rolünü barındırdığında, yukarıdaki liste de şunları içermelidir: 'System\CurrentControlSet\Services\CertSvc'. Bir sunucuda WINS Sunucusu Özelliği yüklü olduğunda, yukarıdaki liste de şunları içermelidir: 'System\CurrentControlSet\Services\WINS' Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.9 |
Yok veya = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (Kayıt Defteri) |
Kritik |
Ağ erişimi: Adlandırılmış Kanallara ve Paylaşımlara anonim erişimi kısıtlama (CCE-36021-4) |
Açıklama: Etkinleştirildiğinde, bu ilke ayarı anonim erişimi yalnızca ve Network access: Shares that can be accessed anonymously ayarlarında adlandırılan Network access: Named pipes that can be accessed anonymously paylaşımlarla ve kanallarla kısıtlar. Bu ilke ayarı, kayıt defteri anahtarındaki değerle 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters ekleyerek RestrictNullSessAccess bilgisayarlarınızdaki paylaşımlara null oturum erişimini denetler. Bu kayıt defteri değeri, sunucu hizmetinin kimliği doğrulanmamış istemcilerin adlandırılmış kaynaklara erişimini kısıtlayıp kısıtlamadığını denetlemek için null oturum paylaşımlarını açar veya kapatır. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ erişimi: Adlandırılmış Kanallar ve Paylaşımlar için anonim erişimi kısıtlama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Ağ erişimi: Uzak SAM çağrısı yapmasına izin verilen istemcileri kısıtlama (AZ-WIN-00142) |
Açıklama: Bu ilke ayarı, SAM'ye uzak RPC bağlantılarını kısıtlamanıza olanak tanır. Seçili değilse, varsayılan güvenlik tanımlayıcısı kullanılır. Bu ilke en az Windows Server 2016'da desteklenir. Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators: Remote Access: Allow ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork erişimi: İstemcilerin SAM'ye uzaktan arama yapmasına izin verilenleri kısıtlama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.11 |
Yok veya = O:BAG:BAD:(A;; RC;;; BA) (Kayıt Defteri) |
Kritik |
Ağ erişimi: Anonim olarak erişilebilecek paylaşımlar (CCE-38095-6) |
Açıklama: Bu ilke ayarı, anonim kullanıcılar tarafından hangi ağ paylaşımlarına erişilebileceğini belirler. Tüm kullanıcıların sunucudaki paylaşılan kaynaklara erişebilmesi için kimlik doğrulamasının yapılması gerektiğinden, bu ilke ayarının varsayılan yapılandırmasının çok az etkisi vardır. Not: Bu Grup İlkesi ayarına başka paylaşımlar eklemek çok tehlikeli olabilir. Herhangi bir ağ kullanıcısı, hassas verilerin açığa alınmasına veya bozulmasına neden olabilecek, listelenen tüm paylaşımlara erişebilir. Not: Bu ayarı yapılandırdığınızda, bir veya daha fazla nesnenin listesini belirtirsiniz. Listeye girerken kullanılan sınırlayıcı bir satır beslemesi veya satır başıdır, yani listedeki ilk nesneyi yazın, Enter düğmesine basın, sonraki nesneyi yazın, yeniden Enter tuşuna basın vb. Ayar değeri, grup ilkesi güvenlik şablonlarında virgülle ayrılmış bir liste olarak depolanır. Ayrıca, Grup İlkesi Düzenleyicisi'nin görüntüleme bölmesinde ve İlke Sonuç Kümesi konsolunda virgülle ayrılmış bir liste olarak işlenir. Kayıt defterine REG_MULTI_SZ bir değerde satır akışı sınırlandırılmış listesi olarak kaydedilir. Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu <blank> (ör. Yok) olarak ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork erişimi: Anonim olarak erişilebilen paylaşımlar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.12 |
Yok veya = (Kayıt Defteri) |
Kritik |
Ağ erişimi: Yerel hesaplar için paylaşım ve güvenlik modeli (CCE-37623-6) |
Açıklama: Bu ilke ayarı, yerel hesapları kullanan ağ oturum açmalarının kimliğinin nasıl doğrulandığını belirler. Klasik seçeneği, aynı kaynak için farklı kullanıcılara farklı erişim türleri atama özelliği de dahil olmak üzere kaynaklara erişim üzerinde hassas denetim sağlar. Yalnızca konuk seçeneği tüm kullanıcılara eşit şekilde davranmanızı sağlar. Bu bağlamda, tüm kullanıcılar belirli bir kaynağa aynı erişim düzeyini almak için yalnızca Konuk olarak kimlik doğrulaması yapar. Bu ayar için önerilen durum: Classic - local users authenticate as themselves . Not: Bu ayar, Telnet veya Uzak Masaüstü Hizmetleri (eski adı Terminal Hizmetleri) gibi hizmetler kullanılarak uzaktan gerçekleştirilen etkileşimli oturum açmaları etkilemez.Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Classic - local users authenticate as themselves ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ erişimi: Yerel hesaplar için paylaşım ve güvenlik modeli Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Ağ Güvenliği
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Ağ güvenliği: NTLM için Local System'ın bilgisayar kimliğini kullanmasına izin ver (CCE-38341-4) |
Açıklama: Etkinleştirildiğinde, bu ilke ayarı anlaşma tarafından NTLM kimlik doğrulaması seçildiğinde Anlaşma kullanan Yerel Sistem hizmetlerinin bilgisayar kimliğini kullanmasına neden olur. Bu ilke en az Windows 7 veya Windows Server 2008 R2'de desteklenir. Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId İşletim sistemi: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork güvenliği: Yerel Sistemin NTLM için bilgisayar kimliğini kullanmasına izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.11.1 |
= 1 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: LocalSystem NULL oturum geri dönüşüne izin ver (CCE-37035-3) |
Açıklama: Bu ilke ayarı, LocalSystem ile kullanıldığında NTLM'nin NULL oturuma geri dönmesine izin verilip verilmeyeceğini belirler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: LocalSystem NULL oturum geri dönüşüne izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: Çevrimiçi kimlikleri kullanmak için bu bilgisayarda PKU2U kimlik doğrulama isteklerine izin ver (CCE-38047-7) |
Açıklama: Bu ayar, çevrimiçi kimliklerin bu bilgisayarda kimlik doğrulaması yapılıp yapılamadığını belirler. Windows 7 ve Windows Server 2008 R2'de kullanıma sunulan Ortak Anahtar Şifreleme Tabanlı Kullanıcıdan Kullanıcıya (PKU2U) protokolü bir güvenlik destek sağlayıcısı (SSP) olarak uygulanır. SSP, özellikle Ev Grubu adlı Windows 7 medyası ve dosya paylaşımı özelliği aracılığıyla eşler arası kimlik doğrulamasını etkinleştirir. Bu özellik, bir etki alanının üyesi olmayan bilgisayarlar arasında paylaşıma izin verir. PKU2U ile Negotiate authentication paketine Spnego.dll yeni bir uzantı eklendi. Windows'un önceki sürümlerinde Negotiate, kimlik doğrulaması için Kerberos mu yoksa NTLM mi kullanılacağına karar verdi. Windows tarafından bir kimlik doğrulama protokolü olarak ele alınan Negotiate Negoexts.dll için SSP uzantısı, PKU2U da dahil olmak üzere Microsoft SSP'lerini destekler. Bilgisayarlar çevrimiçi kimlikleri kullanarak kimlik doğrulama isteklerini kabul etmek üzere yapılandırıldığında, Negoexts.dll oturum açmak için kullanılan bilgisayardaki PKU2U SSP'yi çağırır. PKU2U SSP yerel bir sertifika alır ve ilkeyi eş bilgisayarlar arasında değiştirir. Eş bilgisayarda doğrulandığında, meta verilerdeki sertifika doğrulama için oturum açma eşine gönderilir ve kullanıcının sertifikasını bir güvenlik belirteci ile ilişkilendirir ve oturum açma işlemi tamamlanır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ Güvenliği: Bu bilgisayara yönelik PKU2U kimlik doğrulama isteklerinin çevrimiçi kimlikleri kullanmasına izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Ağ Güvenliği: Kerberos için izin verilen şifreleme türlerini yapılandırma (CCE-37755-6) |
Açıklama: Bu ilke ayarı, Kerberos'un kullanmasına izin verilen şifreleme türlerini ayarlamanıza olanak tanır. Bu ilke en az Windows 7 veya Windows Server 2008 R2'de desteklenir. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes İşletim sistemi: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: Kerberos için izin verilen şifreleme türlerini yapılandırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.11.4 |
Yok veya = 2147483640 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: Sonraki parola değişiminde LAN Manager karma değerini depolama (CCE-36326-7) |
Açıklama: Bu ilke ayarı, parola değiştirildiğinde yeni parola için LAN Manager (LM) karma değerinin depolanıp depolanmayacağını belirler. LM karması, şifreleme açısından daha güçlü Microsoft Windows NT karması ile karşılaştırıldığında nispeten zayıftır ve saldırılara eğilimlidir. LM karmaları güvenlik veritabanındaki yerel bilgisayarda depolandığından, veritabanına saldırılırsa parolalar kolayca tehlikeye girebilir. Not: Bu ilke ayarı etkinleştirildiğinde eski işletim sistemleri ve bazı üçüncü taraf uygulamalar başarısız olabilir. Ayrıca, uygun avantajı elde etmek için bu ayarı etkinleştirdikten sonra parolanın tüm hesaplarda değiştirilmesi gerektiğini unutmayın. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: Sonraki parola değişikliğinde LAN Manager karma değerini depolama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi (CCE-36173-3) |
Açıklama: LAN Manager (LM), kullanıcıların kişisel bilgisayarları tek bir ağda birbirine bağlamasına olanak tanıyan eski bir Microsoft istemci/sunucu yazılımı ailesidir. Ağ özellikleri saydam dosya ve yazdırma paylaşımı, kullanıcı güvenlik özellikleri ve ağ yönetim araçlarını içerir. Active Directory etki alanlarında Kerberos protokolü varsayılan kimlik doğrulama protokolüdür. Ancak, Kerberos protokolü bir nedenle anlaşılmazsa, Active Directory LM, NTLM veya NTLMv2 kullanır. LAN Manager kimlik doğrulaması LM'yi içerir, NTLM ve NTLM sürüm 2 (NTLMv2) varyantlarıdır ve aşağıdaki işlemleri gerçekleştirirken tüm Windows istemcilerinin kimliğini doğrulamak için kullanılan protokoldür: - Etki alanına katılma - Active Directory ormanları arasında kimlik doğrulaması - Alt düzey etki alanlarında kimlik doğrulama - Windows 2000, Windows Server 2003 veya Windows XP çalıştırmayan bilgisayarlarda kimlik doğrulama - Etki alanında olmayan bilgisayarlarda kimlik doğrulaması Ağ güvenliği için olası değerler: LAN Manager kimlik doğrulama düzeyi ayarları şunlardır: - LM & NTLM yanıtları gönder - LM ve NTLM gönderme — anlaşmaya varıldıysa NTLMv2 oturum güvenliğini kullanın - Yalnızca NTLM yanıtlarını gönder - Yalnızca NTLMv2 yanıtlarını gönder - NT Gönder YalnızcaLMv2 yanıtları\LM'yi reddetme - Yalnızca NTLMv2 yanıtlarını gönder\LM'yi reddet ve NTLM - Tanımlı Değil Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi ayarı, ağ oturum açma işlemleri için hangi sınama/yanıt kimlik doğrulama protokolünü kullanıldığını belirler. Bu seçenek, istemcilerin kullandığı kimlik doğrulama protokolü düzeyini, bilgisayarların anlaşma yaptığı oturum güvenlik düzeyini ve sunucuların kabul edecekleri kimlik doğrulama düzeyini şu şekilde etkiler: - LM ve NTLM yanıtları gönder. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve hiçbir zaman NTLMv2 oturum güvenliğini kullanmaz. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - LM & NTLM Gönder — anlaşmaya varılırsa NTLMv2 oturum güvenliğini kullanın. İstemciler LM ve NTLM kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - Yalnızca NTLM yanıtı gönder. İstemciler yalnızca NTLM kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - Yalnızca NTLMv2 yanıtı gönder. İstemciler yalnızca NTLMv2 kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - YALNıZCA NTLMv2 yanıtı gönder\LM'i reddet. İstemciler yalnızca NTLMv2 kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM'i reddeder (yalnızca NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder). - Yalnızca NTLMv2 yanıtı gönder\LM'i reddet & NTLM. İstemciler yalnızca NTLMv2 kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM ve NTLM'i reddeder (yalnızca NTLMv2 kimlik doğrulamayı kabul edin). Bu ayarlar, diğer Microsoft belgelerinde açıklanan düzeylere aşağıdaki gibi karşılık gelir: - Düzey 0 — LM ve NTLM yanıtı gönder; ntlmv2 oturum güvenliğini hiçbir zaman kullanmayın. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve hiçbir zaman NTLMv2 oturum güvenliğini kullanmaz. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - Düzey 1 — Anlaşmaya varılırsa NTLMv2 oturum güvenliğini kullanın. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - Düzey 2 — Yalnızca NTLM yanıtı gönder. İstemciler yalnızca NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - Düzey 3 — Yalnızca NTLMv2 yanıtı gönder. İstemciler NTLMv2 kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder. - Düzey 4 — Etki alanı denetleyicileri LM yanıtlarını reddeder. İstemciler NTLM kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM kimlik doğrulamayı reddeder, yani NTLM ve NTLMv2'yi kabul eder. - Düzey 5 — Etki alanı denetleyicileri LM ve NTLM yanıtlarını reddeder (yalnızca NTLMv2'i kabul eder). İstemciler, sunucu destekliyorsa NTLMv2 kimlik doğrulamasını, kullanımını ve NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri NTLM ve LM kimlik doğrulamalarını reddeder (yalnızca NTLMv2'i kabul ederler). Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için şu kullanıcı arabirimi yolunu olarak ayarlayın: 'Yalnızca NTLMv2 yanıtı gönder. LM ve NTLM'i reddet' : Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri etwork güvenliği: LAN Manager kimlik doğrulama düzeyi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.11.7 |
= 5 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: LDAP istemcisi imza gereksinimleri (CCE-36858-9) |
Açıklama: Bu ilke ayarı, LDAP BIND istekleri veren istemciler adına istenen veri imzalama düzeyini belirler. Not: Bu ilke ayarının LDAP basit bağlama () veya SSLldap_simple_bind_s (ldap_simple_bind ) üzerinden LDAP basit bağlama üzerinde herhangi bir etkisi yoktur. Windows XP Professional'a dahil olan hiçbir Microsoft LDAP istemcisi, etki alanı denetleyicisiyle iletişim kurmak için ldap_simple_bind veya ldap_simple_bind_s kullanmaz. Bu ayar için önerilen durum: Negotiate signing . Bu ayarın karşılaştırmaya Require signing uygun şekilde yapılandırılması da gerekir.Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu Negotiate signing (karşılaştırmaya Require signing da uygun şekilde yapılandırmak) olarak ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: LDAP istemci imzalama gereksinimleri Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) istemciler için en düşük oturum güvenliği (CCE-37553-5) |
Açıklama: Bu ilke ayarı, NTLM Güvenlik Destek Sağlayıcısı 'nı (SSP) kullanan uygulamalar için istemciler tarafından hangi davranışlara izin verileceğini belirler. SSP Arabirimi (SSPI), kimlik doğrulama hizmetlerine ihtiyaç duyan uygulamalar tarafından kullanılır. Bu ayar, kimlik doğrulama dizisinin çalışma şeklini değiştirmez, bunun yerine SSPI kullanan uygulamalarda belirli davranışlar gerektirir. Bu ayar için önerilen durum: Require NTLMv2 session security, Require 128-bit encryption . Not: Bu değerler Ağ güvenliği: LAN Manager Kimlik Doğrulama Düzeyi güvenlik ayarı değerine bağlıdır.Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için şu kullanıcı arabirimi yolunu ayarlayın: Bilgisayar Yapılandırması\İlkeler Require NTLMv2 session security, Require 128-bit encryption \Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) istemciler için en düşük oturum güvenliğiUyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.11.9 |
= 537395200 (Kayıt Defteri) |
Kritik |
Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) sunucular için en düşük oturum güvenliği (CCE-37835-6) |
Açıklama: Bu ilke ayarı, NTLM Güvenlik Destek Sağlayıcısı 'nı (SSP) kullanan uygulamalar için sunucular tarafından hangi davranışlara izin verileceğini belirler. SSP Arabirimi (SSPI), kimlik doğrulama hizmetlerine ihtiyaç duyan uygulamalar tarafından kullanılır. Bu ayar, kimlik doğrulama dizisinin çalışma şeklini değiştirmez, bunun yerine SSPI kullanan uygulamalarda belirli davranışlar gerektirir. Bu ayar için önerilen durum: Require NTLMv2 session security, Require 128-bit encryption . Not: Bu değerler Ağ güvenliği: LAN Manager Kimlik Doğrulama Düzeyi güvenlik ayarı değerine bağlıdır.Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: NtLMv2 oturum güvenliği gerektir ve 128 bit şifreleme gerektir (tüm seçenekler seçilidir) için, Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) sunucular için en düşük oturum güvenliği için ilke değerini yapılandırın. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.11.10 |
= 537395200 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Kapatma
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kapatma: Sistemin oturum açmayı gerektirmeden kapatılmasına izin ver (CCE-36788-8) |
Açıklama: Bu ilke ayarı, kullanıcı oturum açmadığında bilgisayarın kapatılıp kapatılamayacağını belirler. Bu ilke ayarı etkinse, Kapatma komutu Windows oturum açma ekranında kullanılabilir. Bilgisayarı sistemdeki kimlik bilgilerine sahip kullanıcılarla kapatma özelliğini kısıtlamak için bu ilke ayarını devre dışı bırakması önerilir. Bu ayar için önerilen durum: Disabled . Not: Server 2008 R2 ve daha eski sürümlerde bu ayarın Uzak Masaüstü (RDP) / Terminal Hizmetleri oturumlarını etkilemediği için yalnızca yerel konsolu etkilemiştir. Ancak Microsoft, Windows Server 2012 (R2 olmayan) ve üzeri sürümlerin davranışını değiştirmiştir; etkin olarak ayarlanırsa RDP oturumlarının da sunucuyu kapatmasına veya yeniden başlatmasına izin verilir.Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kapatma: Sistemin oturum açmak zorunda kalmadan kapatılmasına izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Kapatma: Sanal bellek disk belleği dosyasını temizle (AZ-WIN-00181) |
Açıklama: Bu ilke ayarı, sistem kapatıldığında sanal bellek disk belleği dosyasının temizlenip temizlenmeyeceğini belirler. Bu ilke ayarı etkinleştirildiğinde, sistem düzgün kapatıldığında sistem disk belleği dosyası temizlenir. Bu güvenlik ayarını etkinleştirirseniz, taşınabilir bir bilgisayar sisteminde hazırda bekletme devre dışı bırakıldığında hazırda bekletme dosyası (Hiberfil.sys) sıfırlanır. Bilgisayarı kapatıp yeniden başlatmak daha uzun sürer ve özellikle büyük disk belleği dosyaları olan bilgisayarlarda fark edilir. Anahtar Yolu: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kapatma: Sanal bellek disk belleği dosyasını olarak Disabled temizleyin için ilke değerini yapılandırın.Uyumluluk Standart Eşlemeleri: |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Sistem şifrelemesi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kullanıcıların bilgisayarda depolanan özel anahtarlara erişmek için parola girmesi gerekir. (AZ-WIN-73699) |
Açıklama: Özel anahtar bulunursa, saldırgan yetkili kullanıcı olarak kimlik doğrulaması yapmak ve ağ altyapısına erişim kazanmak için anahtarı kullanabilir. PKI'nın köşe taşı, bilgileri şifrelemek veya dijital olarak imzalamak için kullanılan özel anahtardır. Özel anahtar çalınırsa, saldırgan belgeleri dijital olarak imzalamak ve yetkili kullanıcı gibi davranabilmek için özel anahtarı kullanabileceğinden, bu kimlik doğrulamasının gizliliğinin ihlal edilmesine ve PKI aracılığıyla kazanılan reddedilmemesine neden olur. Hem dijital sertifikanın sahipleri hem de veren yetkili, bilgisayarları, depolama cihazlarını veya özel anahtarları korumak için kullandıkları her şeyi korumalıdır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Sistem şifrelemesi: Bilgisayarda depolanan kullanıcı anahtarları için güçlü anahtar korumasını zorla Uyumluluk Standart Eşlemeleri: |
= 2 (Kayıt Defteri) |
Önemli |
Windows Server şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları kullanacak şekilde yapılandırılmalıdır. (AZ-WIN-73701) |
Açıklama: Bu ayar, sistemin şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanmasını sağlar. FIPS uyumlu algoritmalar ABD Kamu tarafından oluşturulan belirli standartları karşılar ve tüm işletim sistemi şifreleme işlevleri için kullanılan algoritmalar olmalıdır. Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları kullanma Uyumluluk Standart Eşlemeleri: |
= 1 (Kayıt Defteri) |
Önemli |
Güvenlik Seçenekleri - Sistem nesneleri
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Sistem nesneleri: Windows olmayan alt sistemler için büyük küçük harf duyarlılığının olmamasını gerektir (CCE-37885-1) |
Açıklama: Bu ilke ayarı, tüm alt sistemler için büyük/küçük harf duyarsızlığının zorlanıp zorlanmayacağını belirler. Microsoft Win32 alt sistemi büyük/küçük harfe duyarlı değildir. Ancak çekirdek, UNIX için Taşınabilir İşletim Sistemi Arabirimi (POSIX) gibi diğer alt sistemler için büyük/küçük harf duyarlılığını destekler. Windows büyük/küçük harfe duyarsız olduğundan (ancak POSIX alt sistemi büyük/küçük harf duyarlılığını destekleyecektir) bu ilke ayarının uygulanmaması, POSIX alt sistemi kullanıcısının dosyayı etiketlemek için karma büyük/küçük harf kullanarak başka bir dosyayla aynı ada sahip bir dosya oluşturmasını mümkün kılar. Böyle bir durum, tipik Win32 araçlarını kullanan başka bir kullanıcı tarafından bu dosyalara erişimi engelleyebilir, çünkü dosyalardan yalnızca biri kullanılabilir olacaktır. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Sistem nesneleri: Windows dışı alt sistemler için büyük/küçük harf duyarsızlığı gerektir Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
Yok veya = 1 (Kayıt Defteri) |
Uyarı |
Sistem nesneleri: İç sistem nesnelerinin (Simgesel Bağlantılar gibi) varsayılan izinlerini güçlendir (CCE-37644-2) |
Açıklama: Bu ilke ayarı, nesneler için varsayılan isteğe bağlı erişim denetimi listesinin (DACL) gücünü belirler. Active Directory, DOS cihaz adları, mutex'ler ve semaforlar gibi paylaşılan sistem kaynaklarının genel listesini tutar. Bu şekilde nesneler işlemler arasında bulunabilir ve paylaşılabilir. Her nesne türü, nesnelere kimlerin erişebileceğini ve hangi izinlerin verildiğini belirten bir varsayılan DACL ile oluşturulur. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Sistem nesneleri için ilke değerini yapılandırın: İç sistem nesnelerinin varsayılan izinlerini güçlendirin (örneğin, Sembolik Bağlantılar) Enabled Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.3.15.2 |
= 1 (Kayıt Defteri) |
Kritik |
Güvenlik Seçenekleri - Sistem ayarları
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Sistem ayarları: Yazılım Kısıtlama İlkeleri için Windows Çalıştırılabilirlerinde Sertifika Kurallarını Kullan (AZ-WIN-00155) |
Açıklama: Bu ilke ayarı, yazılım kısıtlama ilkeleri etkinleştirildiğinde dijital sertifikaların işlenip işlenmeyeceğini ve bir kullanıcı veya işlem tarafından .exe dosya adı uzantısıyla yazılım çalıştırma girişiminde bulunup bulunmayacağını belirler. Sertifika kurallarını etkinleştirir veya devre dışı bırakır (bir tür yazılım kısıtlama ilkeleri kuralı). Yazılım kısıtlama ilkeleriyle, yazılımla ilişkili dijital sertifikayı temel alarak Authenticode ® imzalı yazılımın yürütülmesine izin verecek veya izin vermeyecek bir sertifika kuralı oluşturabilirsiniz. Sertifika kurallarının yazılım kısıtlama ilkelerinde etkili olması için bu ilke ayarını etkinleştirmeniz gerekir. Anahtar Yolu: Software\Policies\Microsoft\Windows\Kasa r\CodeIdentifiers\AuthenticodeEnabled İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Sistem ayarları: Yazılım Kısıtlama İlkeleri için Windows Yürütülebilir Dosyalarında Sertifika Kurallarını Kullanma Uyumluluk Standart Eşlemeleri: |
= 1 (Kayıt Defteri) |
Uyarı |
Güvenlik Seçenekleri - Kullanıcı Hesabı Denetimi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kullanıcı Hesabı Denetimi: Yerleşik Yönetici hesabı için Yönetici Onay Modu (CCE-36494-3) |
Açıklama: Bu ilke ayarı, yerleşik Yönetici istrator hesabı için Yönetici Onay Modu'nun davranışını denetler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Filter Yönetici istratorToken İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Yerleşik Yönetici istrator hesabı için Yönetici Onay Modu Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: UIAccess uygulamalarının güvenli masaüstü kullanmadan yükseltme isteminde bulunmasına izin ver (CCE-36863-9) |
Açıklama: Bu ilke ayarı, Kullanıcı Arabirimi Erişilebilirliği (UIAccess veya UIA) programlarının standart bir kullanıcı tarafından kullanılan yükseltme istemleri için güvenli masaüstünü otomatik olarak devre dışı bırakıp devre dışı bırakamayacağını denetler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: UIAccess uygulamalarının güvenli masaüstünü kullanmadan yükseltme istemesine izin ver Uyumluluk Standart Eşlemeleri: |
= 0 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Yönetici Onay Modu'ndaki yöneticiler için yükseltme isteminin davranışı (CCE-37029-6) |
Açıklama: Bu ilke ayarı, yöneticiler için yükseltme isteminin davranışını denetler. Bu ayar için önerilen durum: Prompt for consent on the secure desktop .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehavior Yönetici İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Prompt for consent on the secure desktop ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Yönetici Onay Modu'nda yöneticiler için yükseltme isteminin davranışı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Standart kullanıcılar için yükseltme isteminin davranışı (CCE-36864-7) |
Açıklama: Bu ilke ayarı, standart kullanıcılar için yükseltme isteminin davranışını denetler. Bu ayar için önerilen durum: Automatically deny elevation requests .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak ayarlayın Automatically deny elevation requests: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Standart kullanıcılar için yükseltme isteminin davranışı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Uygulama yüklemelerini algıla ve yükseltme isteminde bulun (CCE-36533-8) |
Açıklama: Bu ilke ayarı, bilgisayar için uygulama yükleme algılama davranışını denetler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Uygulama yüklemelerini algılama ve yükseltme istemi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Yalnızca güvenilir konumlara yüklenmiş UIAccess uygulamalarını yükselt (CCE-37057-7) |
Açıklama: Bu ilke ayarı, Kullanıcı Arabirimi Erişilebilirliği (UIAccess) bütünlük düzeyiyle çalışmak isteyen uygulamaların dosya sisteminde güvenli bir konumda bulunup bulunmayacağını denetler. Güvenli konumlar şunlarla sınırlıdır: - …\Program Files\ , alt klasörler dahil - …\Windows\system32\ …\Program Files (x86)\ - , Windows'un 64 bit sürümleri için alt klasörler de dahil olmak üzere Not: Windows, bu güvenlik ayarının durumundan bağımsız olarak UIAccess bütünlük düzeyiyle çalıştırmayı isteyen tüm etkileşimli uygulamalar için ortak anahtar altyapısı (PKI) imza denetimini zorunlu kılır. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Yalnızca güvenli konumlara yüklenen UIAccess uygulamalarını yükseltin Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Tüm yöneticileri Yönetici Onay Modu'nda çalıştır (CCE-36869-6) |
Açıklama: Bu ilke ayarı, bilgisayar için tüm Kullanıcı Hesabı Denetimi (UAC) ilke ayarlarının davranışını denetler. Bu ilke ayarını değiştirirseniz bilgisayarınızı yeniden başlatmanız gerekir. Bu ayar için önerilen durum: Enabled . Not: Bu ilke ayarı devre dışı bırakılırsa, Güvenlik Merkezi işletim sisteminin genel güvenliğinin azaltıldığını size bildirir.Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Tüm yöneticileri Yönetici Onay Modu'nda çalıştırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Yükseltme isterken güvenli masaüstüne geç (CCE-36866-2) |
Açıklama: Bu ilke ayarı, yükseltme isteği isteminin etkileşimli kullanıcının masaüstünde mi yoksa güvenli masaüstünde mi görüntüleneceğini denetler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Yükseltme isterken güvenli masaüstüne geçin Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (Kayıt Defteri) |
Kritik |
Kullanıcı Hesabı Denetimi: Dosya ve kayıt defteri yazma hatalarını kullanıcı konumlarında sanal olarak oluştur (CCE-37064-3) |
Açıklama: Bu ilke ayarı, uygulama yazma hatalarının tanımlı kayıt defteri ve dosya sistemi konumlarına yeniden yönlendirilip yönlendirilmeyeceğini denetler. Bu ilke ayarı, yönetici olarak çalışan uygulamaları azaltır ve - , - %ProgramFiles% , - %Windir% %Windir%\system32 veya - HKEY_LOCAL_MACHINE\Software için çalışma zamanı uygulama verileri yazar. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Kullanıcı Hesabı Denetimi: Kullanıcı başına konumlara dosya ve kayıt defteri yazma hatalarını sanallaştırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (Kayıt Defteri) |
Kritik |
Güvenlik Ayarlar - Hesap İlkeleri
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Hesap kilitleme eşiği (AZ-WIN-73311) |
Açıklama: Bu ilke ayarı, hesap kilitlenmeden önce başarısız olan oturum açma girişimlerinin sayısını belirler. Bu ilkenin 0 bu şekilde ayarlanması karşılaştırmaya uymaz, bunu yaptığınızda hesap kilitleme eşiği devre dışı bırakılır. Bu ayar için önerilen durum: 5 or fewer invalid logon attempt(s), but not 0 . Not: Parola İlkesi ayarları (bölüm 1.1) ve Hesap Kilitleme İlkesi ayarları (bölüm 1.2) varsayılan davranışları olarak etki alanı kullanıcı hesaplarında genel olarak geçerli olması için Varsayılan Etki Alanı İlkesi GPO'sunda uygulanmalıdır. Bu ayarlar başka bir GPO'da yapılandırılırsa, yalnızca GPO'ya sahip bilgisayarlardaki yerel kullanıcı hesaplarını etkiler. Ancak, belirli etki alanı kullanıcıları ve/veya grupları için varsayılan parola ilkesi ve hesap kilitleme ilkesi kuralları için özel özel durumlar, Grup İlkesi'nden tamamen ayrı olan ve Active Directory Yönetici Istrative Center kullanılarak en kolay şekilde yapılandırılan Parola Ayarlar Nesneleri (PSO' lar) kullanılarak tanımlanabilir.Anahtar Yolu: [System Access]LockoutBadCount İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme eşiği Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
In 1-3 (İlke) |
Önemli |
Parola geçmişini zorunlu kılma (CCE-37166-6) |
Açıklama: Bu ilke ayarı, eski parolayı yeniden kullanabilmeniz için önce bir kullanıcı hesabıyla ilişkilendirilmesi gereken yenilenen benzersiz parola sayısını belirler. Bu ilke ayarının değeri 0 ile 24 parola arasında olmalıdır. Windows Vista için varsayılan değer 0 paroladır, ancak etki alanındaki varsayılan ayar 24 paroladır. Bu ilke ayarının etkinliğini korumak için, kullanıcıların parolalarını tekrar tekrar değiştirmesini önlemek için En düşük parola yaşı ayarını kullanın. Bu ayar için önerilen durum: '24 veya daha fazla parola'. Anahtar Yolu: [Sistem Erişimi]PasswordHistorySize İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak 24 or more password(s) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Parola İlkesi\Parola geçmişini zorla Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 1.1.1 |
>= 24 (İlke) |
Kritik |
Parola yaşı üst sınırı (CCE-37167-4) |
Açıklama: Bu ilke ayarı, kullanıcının parolasının süresi dolmadan önce ne kadar süre kullanabileceğini tanımlar. Bu ilke ayarının değerleri 0 ile 999 gün arasında değişir. Değeri 0 olarak ayarlarsanız parolanın süresi hiçbir zaman dolmaz. Saldırganlar parolaları kırabileceğinden, parolayı ne kadar sık değiştirirseniz, saldırganın çatlamış parola kullanma şansı da o kadar az olur. Ancak, bu değer ne kadar düşükse, kullanıcıların parolalarını değiştirmeleri veya hangi parolanın geçerli olduğunu unutmaları nedeniyle yardım masası desteğine yönelik çağrılarda artış olasılığı o kadar yüksek olur. Bu ayar için önerilen durum şeklindedir 60 or fewer days, but not 0 .Anahtar Yolu: [Sistem Erişimi]MaximumPasswordAge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak 365 or fewer days, but not 0 ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Parola İlkesi\En fazla parola yaşı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 1.1.2 |
1-70 arası (İlke) |
Kritik |
En düşük parola yaşı (CCE-37073-4) |
Açıklama: Bu ilke ayarı, parolayı değiştirmeden önce kullanmanız gereken gün sayısını belirler. Bu ilke ayarı için değer aralığı 1 ile 999 gün arasındadır. (Anında parola değişikliklerine izin vermek için değeri 0 olarak da ayarlayabilirsiniz.) Bu ayarın varsayılan değeri 0 gündür. Bu ayar için önerilen durum: 1 or more day(s) .Anahtar Yolu: [Sistem Erişimi]MinimumPasswordAge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak 1 or more day(s) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Parola İlkesi\En düşük parola yaşı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 1.1.3 |
>= 1 (İlke) |
Kritik |
Parola uzunluğu alt sınırı (CCE-36534-6) |
Açıklama: Bu ilke ayarı, kullanıcı hesabı için parola oluşturan en az sayıda karakteri belirler. Bir kuruluş için en iyi parola uzunluğunun nasıl belirleneceği hakkında birçok farklı teori vardır, ancak belki de "pass tümceciği" "parola" yerine daha iyi bir terimdir. Microsoft Windows 2000 veya sonraki sürümlerinde geçiş ifadeleri oldukça uzun olabilir ve boşluklar içerebilir. Bu nedenle, "$5 milkshake içmek istiyorum" gibi bir ifade geçerli bir geçiş tümceciğidir; rastgele sayı ve harflerden oluşan 8 veya 10 karakterlik bir dizeden çok daha güçlü bir paroladır ve hatırlaması daha kolaydır. Kullanıcılar, özellikle parola uzunluğuyla ilgili olarak, parolaların doğru seçimi ve bakımı hakkında eğitilmelidir. Kurumsal ortamlarda En düşük parola uzunluğu ayarı için ideal değer 14 karakterdir, ancak bu değeri kuruluşunuzun iş gereksinimlerini karşılayacak şekilde ayarlamanız gerekir. Bu ayar için önerilen durum: 14 or more character(s) .Anahtar Yolu: [Sistem Erişimi]MinimumPasswordLength İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak 14 or more character(s) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Parola İlkesi\En düşük parola uzunluğu Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 1.1.4 |
>= 14 (İlke) |
Kritik |
Parola karmaşıklık gereksinimlerini karşılamalıdır (CCE-37063-5) |
Açıklama: Bu ilke ayarı, güçlü parolalar için temel gereksinimleri karşıladığından emin olmak için tüm yeni parolaları denetler. Bu ilke etkinleştirildiğinde, parolalar şu en düşük gereksinimleri karşılamalıdır: - Kullanıcının hesap adını veya kullanıcının tam adının birbirini izleyen iki karakteri aşan bölümlerini içermez - En az altı karakter uzunluğunda olmalıdır - Şu dört kategoriden üçünün karakterlerini içerir: - İngilizce büyük harf karakterleri (A-Z) - İngilizce küçük harfler (a-z) - Temel 10 basamak (0 - 9) - Alfabetik olmayan karakterler (örneğin, !, $, #, %) - Önceki dört kategorinin altına düşmeyen herhangi bir Unicode karakterinin tümünü yakala kategorisi. Bu beşinci kategori bölgesel olarak özel olabilir. Paroladaki her ek karakter karmaşıklığını katlanarak artırır. Örneğin, yedi karakterli, tüm küçük harfli alfabetik parolalar 267 (yaklaşık 8 x 109 veya 8 milyar) olası bileşimlere sahip olabilir. Saniyede 1.000.000 denemede (birçok parola kıran yardımcı program özelliği), kırılması yalnızca 133 dakika sürer. Büyük/küçük harf duyarlılığı olan yedi karakterli alfabetik parolanın 527 bileşimi vardır. Noktalama işareti içermeyen yedi karakterli büyük/küçük harfe duyarlı alfasayısal parolanın 627 bileşimi vardır. Sekiz karakterli parolanın 268 (veya 2 x 1011) olası bileşimi vardır. Bu büyük bir sayı gibi görünse de, saniyede 1.000.000 deneme olduğunda tüm olası parolaları denemek yalnızca 59 saat sürer. Unutmayın, bu süreler ALT karakterleri ve "!" veya "@" gibi diğer özel klavye karakterleri kullanan parolalar için önemli ölçüde artacaktır. Parola ayarlarının düzgün kullanılması deneme yanılma saldırısının zor olmasına yardımcı olabilir. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: [Sistem Erişimi]PasswordComplexity İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Parola İlkesi\Parola karmaşıklık gereksinimlerini karşılamalıdır Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (İlke) |
Kritik |
Hesap kilitleme sayacını sıfırla (AZ-WIN-73309) |
Açıklama: Bu ilke ayarı, Hesap kilitleme eşiği sıfıra sıfırlamadan önce geçmesi gereken süreyi belirler. Bu ilke ayarı için varsayılan değer Tanımlı Değil'dir. Hesap kilitleme eşiği tanımlanmışsa, bu sıfırlama süresi Hesap kilitleme süresi ayarının değerinden küçük veya buna eşit olmalıdır. Bu ilke ayarını varsayılan değerinde bırakırsanız veya değeri çok uzun bir aralıkla yapılandırırsanız, ortamınız DoS saldırısına karşı savunmasız olabilir. Bir saldırgan, kuruluştaki tüm kullanıcılarda kötü amaçlı olarak birkaç başarısız oturum açma girişimi gerçekleştirebilir ve bu da hesaplarını kilitler. Hesap kilitlemeyi sıfırlamaya yönelik bir ilke belirlenmezse, yöneticiler için el ile gerçekleştirilen bir görev olacaktır. Buna karşılık, bu ilke ayarı için makul bir zaman değeri yapılandırılırsa, tüm hesapların kilidi otomatik olarak kaldırılana kadar kullanıcılar belirli bir süre için kilitlenir. Bu ayar için önerilen durum: 15 or more minute(s) . Not: Parola İlkesi ayarları (bölüm 1.1) ve Hesap Kilitleme İlkesi ayarları (bölüm 1.2) varsayılan davranışları olarak etki alanı kullanıcı hesaplarında genel olarak geçerli olması için Varsayılan Etki Alanı İlkesi GPO'sunda uygulanmalıdır. Bu ayarlar başka bir GPO'da yapılandırılırsa, yalnızca GPO'ya sahip bilgisayarlardaki yerel kullanıcı hesaplarını etkiler. Ancak, belirli etki alanı kullanıcıları ve/veya grupları için varsayılan parola ilkesi ve hesap kilitleme ilkesi kuralları için özel özel durumlar, Grup İlkesi'nden tamamen ayrı olan ve Active Directory Yönetici Istrative Center kullanılarak en kolay şekilde yapılandırılan Parola Ayarlar Nesneleri (PSO' lar) kullanılarak tanımlanabilir.Anahtar Yolu: [System Access]ResetLockoutCount İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme sayacını sıfırla Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (İlke) |
Önemli |
Ters çevrilebilir şifreleme kullanarak parolaları depolama (CCE-36286-3) |
Açıklama: Bu ilke ayarı, işletim sisteminin parolaları, kimlik doğrulaması amacıyla kullanıcının parolası hakkında bilgi gerektiren uygulama protokolleri için destek sağlayan, ters çevrilebilir şifreleme kullanan bir şekilde depolayıp depolamadığını belirler. Geri çevrilebilir şifreleme ile depolanan parolalar temelde parolaların düz metin sürümleriyle aynıdır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: [Sistem Erişimi]ClearTextPassword İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Hesap İlkeleri\Parola İlkesi\Ters çevrilebilir şifreleme kullanarak parolaları depolama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (İlke) |
Kritik |
Güvenlik Ayarlar - Windows Güvenlik Duvarı
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Windows Güvenlik Duvarı: Etki Alanı: Tek noktaya yayın yanıtına izin ver (AZ-WIN-00088) |
Açıklama: Bu seçenek, bu bilgisayarın giden çok noktaya yayın veya yayın iletilerine tek noktaya yayın yanıtları alıp almadığını denetlemeniz gerekiyorsa kullanışlıdır. Bu ayarın Özel ve Etki Alanı profilleri için 'Evet' olarak ayarlanması önerilir; bu, kayıt defteri değerini 0 olarak ayarlar. Anahtar Yolu: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik\Windows Güvenlik Duvarı özellikleriyle Windows Güvenlik Duvarı için ilke değerini yapılandırın (bu bağlantı sağ bölmede olacaktır)\Etki Alanı Profili Sekmesi\Ayarlar (Özelleştir'i seçin)\Tek noktaya yayın yanıtına izin ver, Tek noktaya yayın yanıtına izin ver Uyumluluk Standart Eşlemeleri: |
= 0 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Etki Alanı: Güvenlik duvarı durumu (CCE-36062-8) |
Açıklama: Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nın ağ trafiğini filtrelemek için bu profilin ayarlarını kullanmasını sağlamak için Açık (önerilen) seçeneğini belirleyin. Kapalı'yı seçerseniz, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı bu profil için güvenlik duvarı kurallarının veya bağlantı güvenlik kurallarının hiçbirini kullanmaz. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak On (recommended) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Güvenlik Duvarı durumu Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.1.1 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Etki Alanı: Gelen bağlantılar (AZ-WIN-202252) |
Açıklama: Bu ayar, gelen güvenlik duvarı kuralıyla eşleşmeyen gelen bağlantıların davranışını belirler. Bu ayar için önerilen durum: Block (default) .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Gelen bağlantılar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Etki Alanı: Günlük: Bırakılan paketleri günlüğe kaydetme (AZ-WIN-202226) |
Açıklama: Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı herhangi bir nedenle gelen paketi attığında günlüğe kaydetmek için bu seçeneği kullanın. Günlük, paketin neden ve ne zaman bırakıldığını kaydeder. Günlüğün eylem sütununda sözcüğü DROP olan girdileri arayın. Bu ayar için önerilen durum: Yes .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Günlük Özelleştirme\Bırakılan paketleri günlüğe kaydetme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Etki Alanı: Günlük: Başarılı bağlantıları günlüğe kaydetme (AZ-WIN-202227) |
Açıklama: Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı gelen bağlantıya izin verdiğinde günlüğe kaydetmek için bu seçeneği kullanın. Günlük, bağlantının neden ve ne zaman oluşturulduğunu kaydeder. Günlüğün eylem sütununda sözcüğü ALLOW olan girdileri arayın. Bu ayar için önerilen durum: Yes .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessful Bağlan ions İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Günlüğe Kaydetme Özelleştirme\Başarılı bağlantıları günlüğe kaydetme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Etki Alanı: Günlüğe Kaydetme: Ad (AZ-WIN-202224) |
Açıklama: Windows Güvenlik Duvarı'nın günlük bilgilerini yazacağı dosyanın yolunu ve adını belirtmek için bu seçeneği kullanın. Bu ayar için önerilen durum: %SystemRoot%\System32\logfiles\firewall\domainfw.log .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Günlüğe Kaydetme Özelleştirme\Ad Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Etki Alanı: Günlüğe Kaydetme: Boyut sınırı (KB) (AZ-WIN-202225) |
Açıklama: Windows Güvenlik Duvarı'nın günlük bilgilerini yazacağı dosyanın boyut sınırını belirtmek için bu seçeneği kullanın. Bu ayar için önerilen durum: 16,384 KB or greater .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Günlük Özelleştirme\Boyut sınırı (KB) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Etki Alanı: Giden bağlantılar (CCE-36146-9) |
Açıklama: Bu ayar, giden güvenlik duvarı kuralıyla eşleşmeyen giden bağlantıların davranışını belirler. Windows Vista'da varsayılan davranış, bağlantıyı engelleyen güvenlik duvarı kuralları olmadığı sürece bağlantılara izin vermektir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Allow (default) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Giden bağlantılar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.1.3 |
= 0 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Etki alanı: Ayarlar: Yerel bağlantı güvenlik kurallarını uygulama (CCE-38040-2) |
Açıklama: Bu ayar, yerel yöneticilerin Grup İlkesi tarafından yapılandırılan güvenlik duvarı kurallarıyla birlikte geçerli olan yerel bağlantı kuralları oluşturmasına izin verilip verilmeyeceğini denetler. Bu ayar için önerilen durum 'Evet', kayıt defteri değeri 1 olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik\Windows Güvenlik Duvarı ile Windows Güvenlik Duvarı (bu bağlantı sağ bölmede yer alır)\Etki Alanı Profili Sekmesi\Ayarlar (Özelleştir'i seçin)\Kural birleştirme, Yerel bağlantı güvenlik kuralları uygula için ilke değerini yapılandırın Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.6 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Etki alanı: Ayarlar: Yerel güvenlik duvarı kurallarını uygulama (CCE-37860-4) |
Açıklama: Bu ayar, yerel yöneticilerin Grup İlkesi tarafından yapılandırılan güvenlik duvarı kurallarıyla birlikte geçerli olan yerel güvenlik duvarı kuralları oluşturmasına izin verilip verilmeyeceğini denetler. Bu ayar için önerilen durum Evet'tir, bu, kayıt defteri değerini 1 olarak ayarlar. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri (bu bağlantı sağ bölmede olacaktır)\Etki Alanı Profili Sekmesi\Ayarlar (Özelleştir'i seçin)\Kural birleştirme, Yerel güvenlik duvarı kurallarını uygula Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.5 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Etki alanı: Ayarlar: Bildirim görüntüleme (CCE-38041-0) |
Açıklama: Bu seçenek seçildiğinde, bir programın gelen bağlantıları alması engellendiğinde kullanıcıya bildirim görüntülenmez. Sunucu ortamında, kullanıcılar oturum açmadığından, açılır pencereler gerekli olmadığından ve yönetici için karışıklıklara neden olabileceğinden açılır pencereler kullanışlı değildir. Bu ilke ayarını 'Hayır' olarak yapılandırın, bu işlem kayıt defteri değerini 1 olarak ayarlar. Bir programın gelen bağlantıları alması engellendiğinde Windows Güvenlik Duvarı bildirim görüntülemez. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Etki Alanı Profili\Ayarlar Özelleştir\Bildirim görüntüle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.1.4 |
= 1 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Özel: Tek noktaya yayın yanıtına izin ver (AZ-WIN-00089) |
Açıklama: Bu seçenek, bu bilgisayarın giden çok noktaya yayın veya yayın iletilerine tek noktaya yayın yanıtları alıp almadığını denetlemeniz gerekiyorsa kullanışlıdır. Bu ayarın Özel ve Etki Alanı profilleri için 'Evet' olarak ayarlanması önerilir; bu, kayıt defteri değerini 0 olarak ayarlar. Anahtar Yolu: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri (bu bağlantı sağ bölmede olacaktır)\Özel Profil Sekmesi\Ayarlar (Özelleştir'i seçin)\Tek noktaya yayın yanıtı, Tek noktaya yayın yanıtına izin ver Uyumluluk Standart Eşlemeleri: |
= 0 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Özel: Güvenlik duvarı durumu (CCE-38239-0) |
Açıklama: Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nın ağ trafiğini filtrelemek için bu profilin ayarlarını kullanmasını sağlamak için Açık (önerilen) seçeneğini belirleyin. Kapalı'yı seçerseniz, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı bu profil için güvenlik duvarı kurallarının veya bağlantı güvenlik kurallarının hiçbirini kullanmaz. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak On (recommended) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Özel Profil\Güvenlik Duvarı durumu Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.2.1 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Özel: Gelen bağlantılar (AZ-WIN-202228) |
Açıklama: Bu ayar, gelen güvenlik duvarı kuralıyla eşleşmeyen gelen bağlantıların davranışını belirler. Bu ayar için önerilen durum: Block (default) .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Duvarı Özellikleri\Özel Profil\Gelen bağlantılar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Özel: Günlük: Bırakılan paketleri günlüğe kaydetme (AZ-WIN-202231) |
Açıklama: Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı herhangi bir nedenle gelen paketi attığında günlüğe kaydetmek için bu seçeneği kullanın. Günlük, paketin neden ve ne zaman bırakıldığını kaydeder. Günlüğün eylem sütununda sözcüğü DROP olan girdileri arayın. Bu ayar için önerilen durum: Yes .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Duvarı Özellikleri\Özel Profil\Günlük Özelleştirme\Bırakılan paketleri günlüğe kaydetme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Özel: Günlük: Başarılı bağlantıları günlüğe kaydetme (AZ-WIN-202232) |
Açıklama: Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı gelen bağlantıya izin verdiğinde günlüğe kaydetmek için bu seçeneği kullanın. Günlük, bağlantının neden ve ne zaman oluşturulduğunu kaydeder. Günlüğün eylem sütununda sözcüğü ALLOW olan girdileri arayın. Bu ayar için önerilen durum: Yes .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessful Bağlan ions İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Özel Profil\Günlüğe Kaydetme Özelleştirme\Başarılı bağlantıları günlüğe kaydetme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Özel: Günlük: Ad (AZ-WIN-202229) |
Açıklama: Windows Güvenlik Duvarı'nın günlük bilgilerini yazacağı dosyanın yolunu ve adını belirtmek için bu seçeneği kullanın. Bu ayar için önerilen durum: %SystemRoot%\System32\logfiles\firewall\privatefw.log .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Duvarı Özellikleri\Özel Profil\Günlüğe Kaydetme Özelleştirme\Ad Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Özel: Günlük: Boyut sınırı (KB) (AZ-WIN-202230) |
Açıklama: Windows Güvenlik Duvarı'nın günlük bilgilerini yazacağı dosyanın boyut sınırını belirtmek için bu seçeneği kullanın. Bu ayar için önerilen durum: 16,384 KB or greater .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Duvarı Özellikleri\Özel Profil\Günlük Özelleştirme\Boyut sınırı (KB) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Özel: Giden bağlantılar (CCE-38332-3) |
Açıklama: Bu ayar, giden güvenlik duvarı kuralıyla eşleşmeyen giden bağlantıların davranışını belirler. Varsayılan davranış, bağlantıyı engelleyen güvenlik duvarı kuralları olmadığı sürece bağlantılara izin vermektir. Önemli Giden bağlantıları Engelle olarak ayarlar ve ardından bir GPO kullanarak güvenlik duvarı ilkesini dağıtırsanız, Grup İlkesi'nin çalışmasını sağlayan bir giden kuralı oluşturup dağıtmadığınız sürece GPO ayarlarını alan bilgisayarlar sonraki Grup İlkesi güncelleştirmelerini alamaz. Çekirdek Ağ için önceden tanımlanmış kurallar, Grup İlkesi'nin çalışmasını sağlayan giden kuralları içerir. Bu giden kurallarının etkin olduğundan emin olun ve dağıtmadan önce güvenlik duvarı profillerini kapsamlı bir şekilde test edin. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Allow (default) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Özel Profil\Giden bağlantılar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.2.3 |
= 0 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Özel: Ayarlar: Yerel bağlantı güvenlik kuralları uygulama (CCE-36063-6) |
Açıklama: Bu ayar, yerel yöneticilerin Grup İlkesi tarafından yapılandırılan güvenlik duvarı kurallarıyla birlikte geçerli olan yerel bağlantı kuralları oluşturmasına izin verilip verilmeyeceğini denetler. Bu ayar için önerilen durum 'Evet', kayıt defteri değeri 1 olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri (bu bağlantı sağ bölmede olacaktır)\Özel Profil Sekmesi\Ayarlar (Özelleştir'i seçin)\Kural birleştirme, Yerel bağlantı güvenlik kurallarını uygula Uyumluluk Standart Eşlemeleri: |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Özel: Ayarlar: Yerel güvenlik duvarı kurallarını uygulama (CCE-37438-9) |
Açıklama: Bu ayar, yerel yöneticilerin Grup İlkesi tarafından yapılandırılan güvenlik duvarı kurallarıyla birlikte geçerli olan yerel güvenlik duvarı kuralları oluşturmasına izin verilip verilmeyeceğini denetler. Bu ayar için önerilen durum Evet'tir, bu, kayıt defteri değerini 1 olarak ayarlar. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik\Windows Güvenlik Duvarı ile Windows Güvenlik Duvarı (bu bağlantı sağ bölmede yer alır)\Özel Profil Sekmesi\Ayarlar (Özelleştir'i seçin)\Kural birleştirme, Yerel güvenlik duvarı kurallarını uygula için ilke değerini yapılandırın Uyumluluk Standart Eşlemeleri: |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Özel: Ayarlar: Bildirim görüntüleme (CCE-37621-0) |
Açıklama: Bu seçenek seçildiğinde, bir programın gelen bağlantıları alması engellendiğinde kullanıcıya bildirim görüntülenmez. Sunucu ortamında, kullanıcılar oturum açmadığından, açılır pencereler gerekli olmadığından ve yönetici için karışıklıklara neden olabileceğinden açılır pencereler kullanışlı değildir. Bu ilke ayarını 'Hayır' olarak yapılandırın, bu işlem kayıt defteri değerini 1 olarak ayarlar. Bir programın gelen bağlantıları alması engellendiğinde Windows Güvenlik Duvarı bildirim görüntülemez. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Özel Profil\Ayarlar Özelleştir\Bildirim görüntüle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.2.4 |
= 1 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Genel: Tek noktaya yayın yanıtına izin ver (AZ-WIN-00090) |
Açıklama: Bu seçenek, bu bilgisayarın giden çok noktaya yayın veya yayın iletilerine tek noktaya yayın yanıtları alıp almadığını denetlemeniz gerekiyorsa kullanışlıdır. Bu, bu ayarın durumunu 'Hayır' olarak değiştirerek yapılabilir, bu işlem kayıt defteri değerini 1 olarak ayarlar. Anahtar Yolu: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı (bu bağlantı sağ bölmede yer alır)\Genel Profil Sekmesi\Ayarlar (Özelleştir'i seçin)\Tek noktaya yayın yanıtı, Tek noktaya yayın yanıtına izin ver için ilke değerini yapılandırın Uyumluluk Standart Eşlemeleri: |
= 1 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Genel: Güvenlik duvarı durumu (CCE-37862-0) |
Açıklama: Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nın ağ trafiğini filtrelemek için bu profilin ayarlarını kullanmasını sağlamak için Açık (önerilen) seçeneğini belirleyin. Kapalı'yı seçerseniz, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı bu profil için güvenlik duvarı kurallarının veya bağlantı güvenlik kurallarının hiçbirini kullanmaz. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak On (recommended) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Güvenlik Duvarı durumu Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.1 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Genel: Gelen bağlantılar (AZ-WIN-202234) |
Açıklama: Bu ayar, gelen güvenlik duvarı kuralıyla eşleşmeyen gelen bağlantıların davranışını belirler. Bu ayar için önerilen durum: Block (default) .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Gelen bağlantılar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Genel: Günlük: Bırakılan paketleri günlüğe kaydetme (AZ-WIN-202237) |
Açıklama: Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı herhangi bir nedenle gelen paketi attığında günlüğe kaydetmek için bu seçeneği kullanın. Günlük, paketin neden ve ne zaman bırakıldığını kaydeder. Günlüğün eylem sütununda sözcüğü DROP olan girdileri arayın. Bu ayar için önerilen durum: Yes .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Günlük Özelleştirme\Bırakılan paketleri günlüğe kaydetme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Genel: Günlük: Başarılı bağlantıları günlüğe kaydetme (AZ-WIN-202233) |
Açıklama: Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı gelen bağlantıya izin verdiğinde günlüğe kaydetmek için bu seçeneği kullanın. Günlük, bağlantının neden ve ne zaman oluşturulduğunu kaydeder. Günlüğün eylem sütununda sözcüğü ALLOW olan girdileri arayın. Bu ayar için önerilen durum: Yes .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessful Bağlan ions İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Günlüğe Kaydetme Özelleştirme\Başarılı bağlantıları günlüğe kaydetme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (Kayıt Defteri) |
Uyarı |
Windows Güvenlik Duvarı: Genel: Günlük: Ad (AZ-WIN-202235) |
Açıklama: Windows Güvenlik Duvarı'nın günlük bilgilerini yazacağı dosyanın yolunu ve adını belirtmek için bu seçeneği kullanın. Bu ayar için önerilen durum: %SystemRoot%\System32\logfiles\firewall\publicfw.log .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Günlük Özelleştirme\Ad Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Genel: Günlük: Boyut sınırı (KB) (AZ-WIN-202236) |
Açıklama: Windows Güvenlik Duvarı'nın günlük bilgilerini yazacağı dosyanın boyut sınırını belirtmek için bu seçeneği kullanın. Bu ayar için önerilen durum: 16,384 KB or greater .Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Günlük Özelleştirme\Boyut sınırı (KB) Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (Kayıt Defteri) |
Bilgi |
Windows Güvenlik Duvarı: Genel: Giden bağlantılar (CCE-37434-8) |
Açıklama: Bu ayar, giden güvenlik duvarı kuralıyla eşleşmeyen giden bağlantıların davranışını belirler. Varsayılan davranış, bağlantıyı engelleyen güvenlik duvarı kuralları olmadığı sürece bağlantılara izin vermektir. Önemli Giden bağlantıları Engelle olarak ayarlar ve ardından bir GPO kullanarak güvenlik duvarı ilkesini dağıtırsanız, Grup İlkesi'nin çalışmasını sağlayan bir giden kuralı oluşturup dağıtmadığınız sürece GPO ayarlarını alan bilgisayarlar sonraki Grup İlkesi güncelleştirmelerini alamaz. Çekirdek Ağ için önceden tanımlanmış kurallar, Grup İlkesi'nin çalışmasını sağlayan giden kuralları içerir. Bu giden kurallarının etkin olduğundan emin olun ve dağıtmadan önce güvenlik duvarı profillerini kapsamlı bir şekilde test edin. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Allow (default) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Giden bağlantılar Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.3 |
= 0 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Genel: Ayarlar: Yerel bağlantı güvenlik kuralları uygulama (CCE-36268-1) |
Açıklama: Bu ayar, yerel yöneticilerin Grup İlkesi tarafından yapılandırılan güvenlik duvarı kurallarıyla birlikte geçerli olan yerel bağlantı kuralları oluşturmasına izin verilip verilmeyeceğini denetler. Bu ayar için önerilen durum 'Evet', kayıt defteri değeri 1 olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Ayarlar Yerel bağlantı güvenlik kurallarını özelleştirme\uygulama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.6 |
= 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Genel: Ayarlar: Yerel güvenlik duvarı kurallarını uygulama (CCE-37861-2) |
Açıklama: Bu ayar, yerel yöneticilerin Grup İlkesi tarafından yapılandırılan güvenlik duvarı kurallarıyla birlikte geçerli olan yerel güvenlik duvarı kuralları oluşturmasına izin verilip verilmeyeceğini denetler. Bu ayar için önerilen durum Evet'tir, bu, kayıt defteri değerini 1 olarak ayarlar. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Ayarlar Yerel güvenlik duvarı kurallarını özelleştirme\uygulama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.5 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Windows Güvenlik Duvarı: Genel: Ayarlar: Bildirim görüntüleme (CCE-38043-6) |
Açıklama: Bu seçenek seçildiğinde, bir programın gelen bağlantıları alması engellendiğinde kullanıcıya bildirim görüntülenmez. Sunucu ortamında, kullanıcılar oturum açmadığından, açılır pencereler gerekli olmadığından ve yönetici için karışıklıklara neden olabileceğinden açılır pencereler kullanışlı değildir. Bu ilke ayarını 'Hayır' olarak yapılandırın, bu işlem kayıt defteri değerini 1 olarak ayarlar. Bir programın gelen bağlantıları alması engellendiğinde Windows Güvenlik Duvarı bildirim görüntülemez. Anahtar Yolu: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı\Windows Güvenlik Duvarı\Windows Güvenlik Duvarı Özellikleri\Genel Profil\Ayarlar Özelleştir\Bildirim görüntüleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 9.3.4 |
= 1 (Kayıt Defteri) |
Uyarı |
Sistem Denetim İlkeleri - Hesap Oturumu Açma
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kimlik Bilgisi Doğrulamayı Denetleme (CCE-37741-6) |
Açıklama: Bu alt kategori, kullanıcı hesabı oturum açma isteği için gönderilen kimlik bilgileri üzerinde doğrulama testlerinin sonuçlarını raporlar. Bu olaylar, kimlik bilgileri için yetkili olan bilgisayarda gerçekleşir. Etki alanı hesapları için etki alanı denetleyicisi yetkilidir, ancak yerel hesaplar için yerel bilgisayar yetkilidir. Etki alanı ortamlarında Hesap Oturum Açma olaylarının çoğu, etki alanı hesapları için yetkili olan etki alanı denetleyicilerinin Güvenlik günlüğünde gerçekleşir. Ancak, yerel hesaplar oturum açmak için kullanıldığında bu olaylar kuruluştaki diğer bilgisayarlarda gerçekleşebilir. Bu alt kategorinin olayları şunlardır: - 4774: Bir hesap oturum açmak için eşlendi. - 4775: Bir hesap oturum açmak için eşlenemedi. - 4776: Etki alanı denetleyicisi bir hesabın kimlik bilgilerini doğrulamaya çalıştı. - 4777: Etki alanı denetleyicisi bir hesabın kimlik bilgilerini doğrulayamadı. Bu ayar için önerilen durum: 'Başarılı ve Başarısız'. Anahtar Yolu: {0CCE923F-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Credential Validation Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Kerberos Kimlik Doğrulaması Hizmetini Denetleme (AZ-WIN-00004) |
Açıklama: Bu alt kategori, Kerberos kimlik doğrulaması TGT isteğinden sonra oluşturulan olayların sonuçlarını bildirir. Kerberos, kullanıcı adına çalışan bir istemcinin ağ üzerinden veri göndermeden bir sunucuya kimliğini kanıtlamasını sağlayan dağıtılmış bir kimlik doğrulama hizmetidir. Bu, bir saldırganın veya sunucunun kullanıcının kimliğine bürünmesini azaltmaya yardımcı olur. - 4768: Kerberos kimlik doğrulama anahtarı (TGT) istendi. - 4771: Kerberos ön kimlik doğrulaması başarısız oldu. - 4772: Kerberos kimlik doğrulama anahtarı isteği başarısız oldu. Bu ayar için önerilen durum: Success and Failure .Anahtar Yolu: {0CCE9242-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Kerberos Authentication Service Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= Başarı ve Başarısızlık (Denetim) |
Kritik |
Sistem Denetim İlkeleri - Hesap Yönetimi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Dağıtım Grubu Yönetimini Denetleme (CCE-36265-7) |
Açıklama: Bu alt kategori, dağıtım grubu oluşturulduğunda, değiştirildiğinde veya silindiğinde ya da bir dağıtım grubuna üye eklendiğinde veya dağıtım grubundan kaldırıldığında olduğu gibi her dağıtım grubu yönetimi olayını raporlar. Bu Denetim ilkesi ayarını etkinleştirirseniz, yöneticiler grup hesaplarının kötü amaçlı, yanlışlıkla ve yetkilendirilmiş oluşturulmasını algılamak için olayları izleyebilir. Bu alt kategori için olaylar şunlardır: - 4744: Güvenlik devre dışı bırakılmış bir yerel grup oluşturuldu. - 4745: Güvenlik devre dışı bırakılmış bir yerel grup değiştirildi. - 4746: Güvenlik devre dışı bırakılmış bir yerel gruba üye eklendi. - 4747: Güvenlik devre dışı bırakılmış bir yerel gruptan bir üye kaldırıldı. - 4748: Güvenlik devre dışı bırakılmış bir yerel grup silindi. - 4749: Güvenlik devre dışı bırakılmış bir genel grup oluşturuldu. - 4750: Güvenlik devre dışı bırakılmış bir genel grup değiştirildi. - 4751: Güvenlik devre dışı bırakılmış bir genel gruba bir üye eklendi. - 4752: Güvenlik devre dışı bırakılmış bir genel gruptan bir üye kaldırıldı. - 4753: Güvenlik devre dışı bırakılmış bir genel grup silindi. - 4759: Güvenlik devre dışı bırakılmış bir evrensel grup oluşturuldu. - 4760: Güvenlik devre dışı bırakılmış bir evrensel grup değiştirildi. - 4761: Güvenlik devre dışı bırakılmış bir evrensel gruba üye eklendi. - 4762: Güvenlik devre dışı bırakılmış bir evrensel gruptan bir üye kaldırıldı. - 4763: Güvenlik devre dışı bırakılmış bir evrensel grup silindi. Bu ayar için önerilen durum şunlardır: Success .Anahtar Yolu: {0CCE9238-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Hesap Yönetimi\Denetim Dağıtım Grubu Yönetimi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Başarı (Denetim) |
Kritik |
Diğer Hesap Yönetimi Olaylarını Denetleme (CCE-37855-4) |
Açıklama: Bu alt kategori diğer hesap yönetimi olaylarını raporlar. Bu alt kategoriye ilişkin olaylar şunlardır: — 4782: Bir hesaba parola karması erişildi. — 4793: Parola İlkesi Denetimi API'si çağrıldı. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE923A-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Hesap Yönetimi\Diğer Hesap Yönetimi Olaylarını Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.2.4 |
>= Başarı (Denetim) |
Kritik |
Güvenlik Grubu Yönetimini Denetleme (CCE-38034-5) |
Açıklama: Bu alt kategori, güvenlik grubu oluşturulduğunda, değiştirildiğinde veya silindiğinde ya da bir güvenlik grubuna üye eklendiğinde veya bir güvenlik grubundan kaldırıldığında olduğu gibi güvenlik grubu yönetiminin her olayını raporlar. Bu Denetim ilkesi ayarını etkinleştirirseniz, yöneticiler güvenlik grubu hesaplarının kötü amaçlı, yanlışlıkla ve yetkilendirilmiş oluşturulmasını algılamak için olayları izleyebilir. Bu alt kategori için olaylar şunlardır: - 4727: Güvenlik özellikli bir genel grup oluşturuldu. - 4728: Güvenlik özellikli bir genel gruba bir üye eklendi. - 4729: Güvenlik özellikli bir genel gruptan bir üye kaldırıldı. - 4730: Güvenlik özellikli bir genel grup silindi. - 4731: Güvenlik özellikli bir yerel grup oluşturuldu. - 4732: Güvenlik özellikli bir yerel gruba bir üye eklendi. - 4733: Güvenlik özellikli bir yerel gruptan bir üye kaldırıldı. - 4734: Güvenlik özellikli bir yerel grup silindi. - 4735: Güvenlik özellikli bir yerel grup değiştirildi. - 4737: Güvenlik özellikli bir genel grup değiştirildi. - 4754: Güvenlik özellikli bir evrensel grup oluşturuldu. - 4755: Güvenlik özellikli bir evrensel grup değiştirildi. - 4756: Güvenlik özellikli evrensel gruba bir üye eklendi. - 4757: Güvenlik özellikli evrensel gruptan bir üye kaldırıldı. - 4758: Güvenlik özellikli bir evrensel grup silindi. - 4764: Grubun türü değiştirildi. Bu ayar için önerilen durum: Success and Failure .Anahtar Yolu: {0CCE9237-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Security Group Management Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.2.5 |
>= Başarı (Denetim) |
Kritik |
Kullanıcı Hesabı Yönetimini Denetleme (CCE-37856-2) |
Açıklama: Bu alt kategori, kullanıcı hesabı oluşturulduğunda, değiştirildiğinde veya silindiğinde, kullanıcı hesabının yeniden adlandırıldığı, devre dışı bırakıldığı veya etkinleştirildiği ya da parolanın ayarlandığı veya değiştirildiği durumlar gibi kullanıcı hesabı yönetiminin her olayını raporlar. Bu Denetim ilkesi ayarını etkinleştirirseniz, yöneticiler kullanıcı hesaplarının kötü amaçlı, yanlışlıkla ve yetkili olarak oluşturulmasını algılamak için olayları izleyebilir. Bu alt kategori için olaylar şunlardır: - 4720: Bir kullanıcı hesabı oluşturuldu. - 4722: Bir kullanıcı hesabı etkinleştirildi. - 4723: Hesabın parolasını değiştirme girişiminde bulunuldu. - 4724: Hesabın parolasını sıfırlama girişiminde bulunuldu. - 4725: Bir kullanıcı hesabı devre dışı bırakıldı. - 4726: Bir kullanıcı hesabı silindi. - 4738: Kullanıcı hesabı değiştirildi. - 4740: Bir kullanıcı hesabı kilitlendi. - 4765: Hesaba SID Geçmişi eklendi. - 4766: Hesaba SID Geçmişi ekleme girişimi başarısız oldu. - 4767: Bir kullanıcı hesabının kilidi açıktı. - 4780: ACL, yönetici gruplarının üyesi olan hesaplarda ayarlanmıştır. - 4781: Hesabın adı değiştirildi: - 4794: Dizin Hizmetleri Geri Yükleme Modu'nu ayarlama girişiminde bulunuldu. - 5376: Kimlik Bilgisi Yöneticisi kimlik bilgileri yedeklendi. - 5377: Kimlik Bilgileri Yöneticisi kimlik bilgileri yedekten geri yüklendi. Bu ayar için önerilen durum: Success and Failure .Anahtar Yolu: {0CCE9235-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit User Account Management Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Sistem Denetim İlkeleri - Ayrıntılı İzleme
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
PNP Etkinliğini Denetleme (AZ-WIN-00182) |
Açıklama: Bu ilke ayarı, tak çalıştır bir dış cihaz algıladığında denetlemenizi sağlar. Bu ayar için önerilen durum: Success . Not: Grup İlkesi'nde bu değere erişmek ve bu değeri ayarlamak için Windows 10, Server 2016 veya üzeri bir işletim sistemi gerekir.Anahtar Yolu: {0CCE9248-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Güvenlik Seçenekleri\Denetim: Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategorisi ayarlarını (Windows Vista veya üzeri) zorla Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Başarı (Denetim) |
Kritik |
İşlem Oluşturmayı Denetleme (CCE-36059-4) |
Açıklama: Bu alt kategori, bir işlemin oluşturulmasını ve bunu oluşturan programın veya kullanıcının adını bildirir. Bu alt kategorinin olayları şunlardır: - 4688: Yeni bir işlem oluşturuldu. - 4696: İşleme birincil belirteç atandı. Bu ayar hakkında en son bilgiler için 947226 Microsoft Bilgi Bankası makalesine bakın. Bu ayar için önerilen durum: Success .Anahtar Yolu: {0CCE922B-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Ayrıntılı İzleme\Denetim İşlemi Oluşturma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Başarı (Denetim) |
Kritik |
Sistem Denetim İlkeleri - DS Erişimi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Dizin Hizmeti Erişimini Denetleme (CCE-37433-0) |
Açıklama: Bu alt kategori, bir AD DS nesnesine erişildiğinde bildirir. Yalnızca SACL'leri olan nesneler denetim olaylarının oluşturulmasına ve yalnızca SACL'leriyle eşleşen bir şekilde erişilmeleri durumunda oluşturulmasına neden olur. Bu olaylar, Windows Server'ın önceki sürümlerindeki dizin hizmeti erişim olaylarına benzer. Bu alt kategori yalnızca Etki Alanı Denetleyicileri için geçerlidir. Bu alt kategorinin olayları şunlardır: - 4662 : Nesne üzerinde bir işlem gerçekleştirildi. Bu ayar için önerilen durum şunlardır: Failure .Anahtar Yolu: {0CCE923B-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\DS Erişimi\Dizin Hizmeti Erişimini Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Hata (Denetim) |
Kritik |
Dizin Hizmeti Değişikliklerini Denetleme (CCE-37616-0) |
Açıklama: Bu alt kategori, Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) nesnelere yapılan değişiklikleri bildirir. Bildirilen değişiklik türleri bir nesne üzerinde gerçekleştirilen oluşturma, değiştirme, taşıma ve geri alma işlemleridir. DS Değişiklik denetimi, uygun olduğu durumlarda değiştirilen nesnelerin değiştirilmiş özelliklerinin eski ve yeni değerlerini gösterir. Yalnızca SACL'leri olan nesneler denetim olaylarının oluşturulmasına ve yalnızca SACL'leriyle eşleşen bir şekilde erişilmeleri durumunda oluşturulmasına neden olur. Bazı nesneler ve özellikler, şemadaki nesne sınıfındaki ayarlar nedeniyle denetim olaylarının oluşturulmasına neden olmaz. Bu alt kategori yalnızca Etki Alanı Denetleyicileri için geçerlidir. Bu alt kategoriye ilişkin olaylar şunlardır: - 5136 : Dizin hizmeti nesnesi değiştirildi. - 5137 : Dizin hizmeti nesnesi oluşturuldu. - 5138 : Dizin hizmeti nesnesi silinmedi. - 5139 : Bir dizin hizmeti nesnesi taşındı. Bu ayar için önerilen durum şunlardır: Success .Anahtar Yolu: {0CCE923C-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Changes Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Başarı (Denetim) |
Kritik |
Dizin Hizmeti Çoğaltmasını Denetleme (AZ-WIN-00093) |
Açıklama: Bu alt kategori, iki etki alanı denetleyicisi arasındaki çoğaltmanın ne zaman başladığını ve bittiğini bildirir. Bu alt kategori için olaylar şunlardır: - 4932: Active Directory adlandırma bağlamının çoğaltmasının eşitlenmesi başladı. – 4933: Active Directory adlandırma bağlamının bir çoğaltmasının eşitlenmesi sona erdi. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: http:--support.microsoft.com-default.aspx-kb-947226 Anahtar Yolu: {0CCE923D-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\DS Access\Dizin Hizmeti Çoğaltmasını Denetle Uyumluluk Standart Eşlemeleri: |
>= Denetim Yok (Denetim) |
Kritik |
Sistem Denetim İlkeleri - Oturum Açma-Kapatma
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Hesap Kilitlemeyi Denetleme (CCE-37133-6) |
Açıklama: Bu alt kategori, çok fazla başarısız oturum açma girişiminin sonucu olarak kullanıcının hesabı kilitlendiğinde bildirir. Bu alt kategoriye ilişkin olaylar şunlardır: — 4625: Bir hesap oturum açamadı. Bu ayar hakkında en son bilgiler için 'Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması' Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9217-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Failure şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Account Lockout Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.5.1 |
>= Hata (Denetim) |
Kritik |
Denetim Grubu Üyeliği (AZ-WIN-00026) |
Açıklama: Denetim Grubu Üyeliği, istemci bilgisayarda listelendiğinde grup üyeliklerini denetlemenizi sağlar. Bu ilke, kullanıcının oturum açma belirtecindeki grup üyeliği bilgilerini denetlemenize olanak tanır. Bu alt kategorideki olaylar, oturum açma oturumunun oluşturulduğu bilgisayarda oluşturulur. Etkileşimli oturum açma için, kullanıcının oturum açtığı bilgisayarda güvenlik denetimi olayı oluşturulur. Ağda paylaşılan bir klasöre erişme gibi bir ağ oturumu için, kaynağı barındıran bilgisayarda güvenlik denetimi olayı oluşturulur. Ayrıca, Oturum Açmayı Denetle alt kategorisini de etkinleştirmeniz gerekir. Grup üyeliği bilgileri tek bir güvenlik denetimi olayına sığmazsa birden çok olay oluşturulur. Denetlenen olaylar şunlardır: - 4627(ler): Grup üyeliği bilgileri. Anahtar Yolu: {0CCE9249-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.5.2 |
>= Başarı (Denetim) |
Kritik |
Oturum Kapatmayı Denetleme (CCE-38237-4) |
Açıklama: Bu alt kategori, bir kullanıcı sistemden oturumunu kapattığında bildirir. Bu olaylar, erişilen bilgisayarda gerçekleşir. Etkileşimli oturum açma işlemleri için, bu olayların oluşturulması oturum açmış olan bilgisayarda gerçekleşir. Bir paylaşıma erişmek için ağ oturumu açılırsa, bu olaylar erişilen kaynağı barındıran bilgisayarda oluşturulur. Bu ayarı Denetim yok olarak yapılandırıyorsanız, kuruluş bilgisayarlarına erişen veya erişmeye çalışılan kullanıcıyı belirlemek zor veya imkansızdır. Bu alt kategorinin olayları şunlardır: - 4634: Bir hesap kapatılmış. - 4647: Kullanıcı tarafından başlatılan oturum kapatma. Bu ayar için önerilen durum: 'Başarılı'. Anahtar Yolu: {0CCE9216-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Oturum Açma/Kapatma\Denetim Oturumu Kapatma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Başarı (Denetim) |
Kritik |
Oturum Açmayı Denetleme (CCE-38036-0) |
Açıklama: Bu alt kategori, bir kullanıcı sistemde oturum açmayı denediğinde bildirir. Bu olaylar, erişilen bilgisayarda gerçekleşir. Etkileşimli oturum açma işlemleri için, bu olayların oluşturulması oturum açmış olan bilgisayarda gerçekleşir. Bir paylaşıma erişmek için ağ oturumu açılırsa, bu olaylar erişilen kaynağı barındıran bilgisayarda oluşturulur. Bu ayarı Denetim yok olarak yapılandırıyorsanız, kuruluş bilgisayarlarına erişen veya erişmeye çalışılan kullanıcıyı belirlemek zor veya imkansızdır. Bu alt kategori için olaylar şunlardır: - 4624: Bir hesap başarıyla oturum açtı. - 4625: Bir hesap oturum açamadı. - 4648: Açık kimlik bilgileri kullanılarak oturum açmaya çalışıldı. - 4675: SID'ler filtrelendi. Bu ayar için önerilen durum: 'Başarılı ve Başarısız'. Anahtar Yolu: {0CCE9215-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Diğer Oturum Açma/Kapatma Olaylarını Denetleme (CCE-36322-6) |
Açıklama: Bu alt kategori, Terminal Hizmetleri oturumu bağlantısı kesiliyor ve yeniden bağlanıyor, farklı bir hesap altında işlemleri çalıştırmak için Çalıştır'ları kullanıyor ve bir iş istasyonunu kilitleyip kilidini açıyor gibi oturum açma/kapatmayla ilgili diğer olayları rapor ediyor. Bu alt kategori için olaylar şunlardır: — 4649: Yeniden yürütme saldırısı algılandı. — 4778: Bir oturum bir Pencere İstasyonu'na yeniden bağlandı. — 4779: Bir oturumun Pencere İstasyonu ile bağlantısı kesildi. — 4800: İş istasyonu kilitlendi. — 4801: İş istasyonunun kilidi açıktı. — 4802: Ekran koruyucu çağrıldı. — 4803: Ekran koruyucu kapatıldı. — 5378: İstenen kimlik bilgileri temsilcisine ilke tarafından izin verilmedi. — 5632: Kablosuz ağda kimlik doğrulaması yapmak için bir istekte bulunuldu. — 5633: Kablolu bir ağda kimlik doğrulaması yapmak için istekte bulunuldu. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE921C-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Oturum Açma/Kapatma\Diğer Oturum Açma/Kapatma Olaylarını Denetleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.5.5 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Özel Oturum Açmayı Denetleme (CCE-36266-5) |
Açıklama: Bu alt kategori, özel bir oturum açma kullanıldığında bildirir. Özel oturum açma, yöneticiyle eşdeğer ayrıcalıklara sahip olan ve bir işlemi daha yüksek bir düzeye yükseltmek için kullanılabilen bir oturum açmadır. Bu alt kategoriye ilişkin olaylar şunlardır: - 4964 : Özel gruplar yeni bir oturum açmaya atandı. Bu ayar için önerilen durum: Success .Anahtar Yolu: {0CCE921B-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Başarı (Denetim) |
Kritik |
Sistem Denetim İlkeleri - Nesne Erişimi
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Ayrıntılı Dosya Paylaşımını Denetleme (AZ-WIN-00100) |
Açıklama: Bu alt kategori, paylaşılan bir klasördeki dosya ve klasörlere erişme girişimlerini denetlemenizi sağlar. Bu alt kategorinin olayları şunlardır: - 5145: istemciye istenen erişim verilip verilemeyeceğini görmek için ağ paylaşımı nesnesi denetlendi. Bu ayar için önerilen durum şunlardır: Failure Anahtar Yolu: {0CCE9244-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Ayrıntılı Dosya Paylaşımını Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Hata (Denetim) |
Kritik |
Dosya Paylaşımını Denetleme (AZ-WIN-00102) |
Açıklama: Bu ilke ayarı, paylaşılan klasöre erişme girişimlerini denetlemenize olanak tanır. Bu ayar için önerilen durum: Success and Failure . Not: Paylaşılan klasörler için sistem erişim denetim listesi (SACL) yoktur. Bu ilke ayarı etkinleştirilirse, sistemdeki tüm paylaşılan klasörlere erişim denetlener.Anahtar Yolu: {0CCE9224-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Dosya Paylaşımı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Diğer Nesne Erişim Olaylarını Denetleme (AZ-WIN-00113) |
Açıklama: Bu alt kategori, Görev Zamanlayıcı işleri ve COM+ nesneleri gibi nesne erişimiyle ilgili diğer olayları raporlar. Bu alt kategoriye ilişkin olaylar şunlardır: — 4671: Bir uygulama, engellenen bir sıraya TBS aracılığıyla erişmeye çalıştı. — 4691: Bir nesneye dolaylı erişim istendi. — 4698: Zamanlanmış bir görev oluşturuldu. — 4699: Zamanlanmış bir görev silindi. — 4700: Zamanlanmış bir görev etkinleştirildi. — 4701: Zamanlanmış bir görev devre dışı bırakıldı. — 4702: Zamanlanmış bir görev güncelleştirildi. — 5888: COM+ Kataloğu'ndaki bir nesne değiştirildi. — 5889: COM+ Kataloğu'ndan bir nesne silindi. — 5890: COM+ Kataloğu'na bir nesne eklendi. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9227-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.6.3 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Çıkarılabilir Depolama Denetleme (CCE-37617-8) |
Açıklama: Bu ilke ayarı, çıkarılabilir bir depolama cihazındaki dosya sistemi nesnelerine erişmeye yönelik kullanıcı girişimlerini denetlemenize olanak tanır. Yalnızca istenen tüm erişim türleri için tüm nesneler için bir güvenlik denetimi olayı oluşturulur. Bu ilke ayarını yapılandırdığınızda, hesap çıkarılabilir bir depolama birimindeki bir dosya sistemi nesnesine her eriştiğinde bir denetim olayı oluşturulur. Başarılı denetimler başarılı denemeleri kaydeder ve Başarısız denetimler başarısız denemeleri kaydeder. Bu ilke ayarını yapılandırmazsanız, hesap çıkarılabilir bir depolama birimindeki bir dosya sistemi nesnesine eriştiğinde hiçbir denetim olayı oluşturulmaz. Bu ayar için önerilen durum: Success and Failure . Not: Grup İlkesi'nde bu değere erişmek ve bu değeri ayarlamak için Windows 8, Server 2012 (R2 olmayan) veya üzeri bir işletim sistemi gereklidir.Anahtar Yolu: {0CCE9245-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Çıkarılabilir Depolama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Sistem Denetim İlkeleri - İlke Değişikliği
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kimlik Doğrulama İlkesi Değişikliğini Denetleme (CCE-38327-3) |
Açıklama: Bu alt kategori, kimlik doğrulama ilkesindeki değişiklikleri bildirir. Bu alt kategori için olaylar şunlardır: — 4706: Etki alanına yeni bir güven oluşturuldu. — 4707: Bir etki alanına güven kaldırıldı. — 4713: Kerberos ilkesi değiştirildi. — 4716: Güvenilen etki alanı bilgileri değiştirildi. — 4717: Bir hesaba sistem güvenliği erişimi verildi. — 4718: Sistem güvenliği erişimi bir hesaptan kaldırıldı. — 4739: Etki Alanı İlkesi değiştirildi. — 4864: Ad alanı çakışması algılandı. — 4865: Güvenilen orman bilgileri girdisi eklendi. — 4866: Güvenilen orman bilgileri girdisi kaldırıldı. — 4867: Güvenilen orman bilgileri girdisi değiştirildi. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9230-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\İlke Değişikliği\Kimlik Doğrulama İlkesi Değişikliğini Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.7.2 |
>= Başarı (Denetim) |
Kritik |
Yetkilendirme İlkesi Değişikliğini Denetleme (CCE-36320-0) |
Açıklama: Bu alt kategori, yetkilendirme ilkesindeki değişiklikleri bildirir. Bu alt kategori için olaylar şunlardır: - 4704: Kullanıcı hakkı atandı. - 4705: Kullanıcı hakkı kaldırıldı. - 4706: Etki alanına yeni bir güven oluşturuldu. - 4707: Bir etki alanına güven kaldırıldı. - 4714: Şifrelenmiş veri kurtarma ilkesi değiştirildi. Bu ayar için önerilen durum şunlardır: Success .Anahtar Yolu: {0CCE9231-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\İlke Değişikliği\Yetkilendirme İlkesi Değişikliği Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Başarı (Denetim) |
Kritik |
MPSSVC Kural Düzeyi İlke Değişikliğini Denetleme (AZ-WIN-00111) |
Açıklama: Bu alt kategori, Microsoft Koruma Hizmeti (MPSSVC.exe) tarafından kullanılan ilke kurallarındaki değişiklikleri bildirir. Bu hizmet, Windows Güvenlik Duvarı ve Microsoft OneCare tarafından kullanılır. Bu alt kategori için olaylar şunlardır: — 4944: Windows Güvenlik Duvarı başlatıldığında aşağıdaki ilke etkindi. — 4945: Windows Güvenlik Duvarı başlatıldığında bir kural listelendi. — 4946: Windows Güvenlik Duvarı özel durum listesinde bir değişiklik yapıldı. Bir kural eklendi. — 4947: Windows Güvenlik Duvarı özel durum listesinde bir değişiklik yapıldı. Bir kural değiştirildi. — 4948: Windows Güvenlik Duvarı özel durum listesinde bir değişiklik yapıldı. Bir kural silindi. — 4949: Windows Güvenlik Duvarı ayarları varsayılan değerlere geri yüklendi. — 4950: Windows Güvenlik Duvarı ayarı değişti. — 4951: Ana sürüm numarası Windows Güvenlik Duvarı tarafından tanınmadığından bir kural yoksayıldı. — 4952: İkincil sürüm numarası Windows Güvenlik Duvarı tarafından tanınmadığından kuralın bölümleri yoksayıldı. Kuralın diğer bölümleri zorlanır. — 4953: Kuralı ayrıştıramadığı için bir kural Windows Güvenlik Duvarı tarafından yoksayıldı. — 4954: Windows Güvenlik Duvarı Grup İlkesi ayarları değişti. Yeni ayarlar uygulandı. — 4956: Windows Güvenlik Duvarı etkin profili değiştirdi. — 4957: Windows Güvenlik Duvarı şu kuralı uygulamadı: — 4958: Kural bu bilgisayarda yapılandırılmamış öğelere başvurduğu için Windows Güvenlik Duvarı aşağıdaki kuralı uygulamadı: Bu ayar hakkında en son bilgiler için Microsoft Bilgi Bankası'nda "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9232-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\İlke Değişikliği\MPSSVC Kural Düzeyi İlkesi Değişikliğini Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.7.4 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Diğer İlke Değişikliği Olaylarını Denetleme (AZ-WIN-00114) |
Açıklama: Bu alt kategori EFS Veri Kurtarma Aracısı ilke değişiklikleri, Windows Filtreleme Platformu filtresindeki değişiklikler, Yerel Grup İlkesi ayarları için Güvenlik ilkesi ayarları güncelleştirmeleri, Merkezi Erişim İlkesi değişiklikleri ve Şifreleme Yeni Nesil (CNG) işlemleri için ayrıntılı sorun giderme olayları hakkındaki olayları içerir. - 5063: Şifreleme sağlayıcısı işlemi denendi. - 5064: Şifreleme bağlamı işlemi denendi. - 5065: Şifreleme bağlamı değişikliği denendi. - 5066: Şifreleme işlevi işlemi denendi. - 5067: Şifreleme işlevi değişikliği denendi. - 5068: Şifreleme işlevi sağlayıcısı işlemi denendi. - 5069: Şifreleme işlevi özelliği işlemi denendi. - 5070: Şifreleme işlevi özellik değişikliği denendi. - 6145: Grup ilkesi nesnelerinde güvenlik ilkesi işlenirken bir veya daha fazla hata oluştu. Bu ayar için önerilen durum şunlardır: Failure .Anahtar Yolu: {0CCE9234-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\İlke Değişikliği\Diğer İlke Değişikliği Olaylarını Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Hata (Denetim) |
Kritik |
denetim ilkesi değişikliği (CCE-38028-7) |
Açıklama: Bu alt kategori, SACL değişiklikleri de dahil olmak üzere denetim ilkesindeki değişiklikleri bildirir. Bu alt kategoriye ilişkin olaylar şunlardır: — 4715: Bir nesnedeki denetim ilkesi (SACL) değiştirildi. — 4719: Sistem denetim ilkesi değiştirildi. — 4902: Kullanıcı başına denetim ilkesi tablosu oluşturuldu. — 4904: Güvenlik olayı kaynağını kaydetme girişiminde bulunuldu. — 4905: Güvenlik olayı kaynağının kaydını kaldırma girişiminde bulunuldu. — 4906: CrashOnAuditFail değeri değişti. — 4907: Nesnedeki denetim ayarları değiştirildi. — 4908: Özel Gruplar Oturum Açma tablosu değiştirildi. — 4912: Kullanıcı Başına Denetim İlkesi değiştirildi. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE922F-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\İlke Değişikliği\Denetim Denetimi İlkesi Değişikliği Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.7.1 |
>= Başarı (Denetim) |
Kritik |
Sistem Denetim İlkeleri - Ayrıcalık Kullanımı
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Hassas Ayrıcalık Kullanımını Denetleme (CCE-36267-3) |
Açıklama: Bu alt kategori, bir kullanıcı hesabı veya hizmeti hassas bir ayrıcalık kullandığında bildirir. Hassas ayrıcalık şu kullanıcı haklarını içerir: İşletim sisteminin bir parçası olarak davranın, Dosyaları ve dizinleri yedekleyin, Belirteç nesnesi oluşturma, Programlarda hata ayıklama, Temsil için güvenilecek bilgisayar ve kullanıcı hesaplarını etkinleştirme, Güvenlik denetimleri oluşturma, Kimlik doğrulamasından sonra istemcinin kimliğine bürünme, Cihaz sürücülerini yükleme ve kaldırma, Denetim ve güvenlik günlüğünü yönetme, Üretici yazılımı ortam değerlerini değiştirme, İşlem düzeyi belirteci, Dosyaları ve dizinleri geri yükle ve Dosyaların veya diğer nesnelerin sahipliğini al'ı değiştirin. Bu alt kategorinin denetlenmesinde yüksek hacimli olaylar oluşturulur. Bu alt kategori için olaylar şunlardır: — 4672: Yeni oturum açmaya atanan özel ayrıcalıklar. — 4673: Ayrıcalıklı bir hizmet çağrıldı. — 4674: Ayrıcalıklı bir nesne üzerinde bir işlem denendi. Bu ayar hakkında en son bilgiler için 'Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması' Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9228-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Success and Failure ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.8.1 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Sistem Denetim İlkeleri - Sistem
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
IPsec Sürücüsünü Denetleme (CCE-37853-9) |
Açıklama: Bu alt kategori, İnternet Protokolü güvenlik (IPsec) sürücüsünün etkinlikleri hakkında bilgi verir. Bu alt kategoriye ilişkin olaylar şunlardır: - 4960: IPsec, bütünlük denetiminde başarısız olan bir gelen paketi bıraktı. Bu sorun devam ederse, bir ağ sorunu olduğunu veya paketlerin bu bilgisayara aktarılırken değiştirildiğini gösterebilir. Uzak bilgisayardan gönderilen paketlerin bu bilgisayar tarafından alınanlarla aynı olduğunu doğrulayın. Bu hata, diğer IPsec uygulamalarıyla birlikte çalışabilirlik sorunlarını da gösterebilir. - 4961: IPsec, yeniden yürütme denetiminde başarısız olan bir gelen paketi bıraktı. Bu sorun devam ederse, bu bilgisayara yönelik yeniden yürütme saldırısına işaret edebilir. - 4962: IPsec, yeniden yürütme denetiminde başarısız olan bir gelen paketi bıraktı. Gelen paketin yeniden yürütme olmadığından emin olmak için çok düşük bir dizi numarası vardı. - 4963: IPsec güvenliği sağlanmış olması gereken bir gelen temiz metin paketini bıraktı. Bunun nedeni genellikle uzak bilgisayarın bu bilgisayarı bilgilendirmeden IPsec ilkesini değiştirmesidir. Bu yanıltma saldırısı girişimi de olabilir. - 4965: IPsec, uzak bir bilgisayardan yanlış Bir Güvenlik Parametresi Dizini (SPI) ile bir paket aldı. Bunun nedeni genellikle paketleri bozan hatalı donanımdır. Bu hatalar devam ederse, uzak bilgisayardan gönderilen paketlerin bu bilgisayar tarafından alınanlarla aynı olduğunu doğrulayın. Bu hata, diğer IPsec uygulamalarıyla birlikte çalışabilirlik sorunlarını da gösterebilir. Bu durumda, bağlantı engellenmemişse, bu olaylar yoksayılabilir. - 5478: IPsec Hizmetleri başarıyla başlatıldı. - 5479: IPsec Hizmetleri başarıyla kapatıldı. IPsec Hizmetleri'nin kapatılması, bilgisayarı ağ saldırısı riski altına sokabilir veya bilgisayarı olası güvenlik risklerine maruz bırakabilir. - 5480: IPsec Hizmetleri bilgisayardaki ağ arabirimlerinin tam listesini alamadı. Bazı ağ arabirimleri uygulanan IPsec filtreleri tarafından sağlanan korumayı almayabileceği için bu durum olası bir güvenlik riski oluşturur. Sorunu tanılamak için IP Güvenlik İzleyicisi ek bileşenini kullanın. - 5483: IPsec Hizmetleri RPC sunucusunu başlatamadı. IPsec Hizmetleri başlatılamadı. - 5484: IPsec Hizmetleri kritik bir hatayla karşılaşmış ve kapatıldı. IPsec Hizmetleri'nin kapatılması, bilgisayarı ağ saldırısı riski altına sokabilir veya bilgisayarı olası güvenlik risklerine maruz bırakabilir. - 5485: IPsec Hizmetleri, ağ arabirimleri için bir tak çalıştır olayında bazı IPsec filtrelerini işleyemedi. Bazı ağ arabirimleri uygulanan IPsec filtreleri tarafından sağlanan korumayı almayabileceği için bu durum olası bir güvenlik riski oluşturur. Sorunu tanılamak için IP Güvenlik İzleyicisi ek bileşenini kullanın. Bu ayar için önerilen durum: Success and Failure .Anahtar Yolu: {0CCE9213-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\System\Audit IPsec Sürücüsü Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= Başarı ve Başarısızlık (Denetim) |
Kritik |
Diğer Sistem Olaylarını Denetleme (CCE-38030-3) |
Açıklama: Bu alt kategori diğer sistem olaylarını raporlar. Bu alt kategori için olaylar şunlardır: - 5024 : Windows Güvenlik Duvarı Hizmeti başarıyla başlatıldı. - 5025 : Windows Güvenlik Duvarı Hizmeti durduruldu. - 5027 : Windows Güvenlik Duvarı Hizmeti yerel depolama alanından güvenlik ilkesini alamadı. Hizmet geçerli ilkeyi zorlamaya devam edecektir. - 5028 : Windows Güvenlik Duvarı Hizmeti yeni güvenlik ilkesini ayrıştıramadı. Hizmet, şu anda zorunlu ilkeyle devam edecektir. - 5029: Windows Güvenlik Duvarı Hizmeti sürücüyü başlatamadı. Hizmet geçerli ilkeyi zorlamaya devam edecektir. - 5030: Windows Güvenlik Duvarı Hizmeti başlatılamadı. - 5032: Windows Güvenlik Duvarı, bir uygulamanın ağda gelen bağlantıları kabul etmelerini engellediğini kullanıcıya bildiremedi. - 5033 : Windows Güvenlik Duvarı Sürücüsü başarıyla başlatıldı. - 5034 : Windows Güvenlik Duvarı Sürücüsü durduruldu. - 5035 : Windows Güvenlik Duvarı Sürücüsü başlatılamadı. - 5037 : Windows Güvenlik Duvarı Sürücüsü kritik çalışma zamanı hatası algılandı. Sonlandırıcı. - 5058: Anahtar dosyası işlemi. - 5059: Anahtar geçişi işlemi. Bu ayar için önerilen durum: Success and Failure .Anahtar Yolu: {0CCE9214-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Sistem\Diğer Sistem Olaylarını Denetle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Güvenlik Durumu Değişikliğini Denetleme (CCE-38114-5) |
Açıklama: Bu alt kategori, güvenlik alt sisteminin ne zaman başlayıp durduğu gibi sistemin güvenlik durumundaki değişiklikleri bildirir. Bu alt kategori için olaylar şunlardır: — 4608: Windows başlatılıyor. — 4609: Windows kapatılıyor. — 4616: Sistem saati değiştirildi. — 4621: CrashOnAuditFail'den Yönetici istrator sistem kurtarıldı. Yönetici olmayan kullanıcıların oturum açmasına izin verilir. Denetlenebilir bazı etkinlikler kaydedilmemiş olabilir. Bu ayar hakkında en son bilgiler için 'Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması' Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9210-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.9.3 |
>= Başarı (Denetim) |
Kritik |
Güvenlik Sistemi Uzantısını Denetleme (CCE-36144-4) |
Açıklama: Bu alt kategori, güvenlik alt sistemi tarafından kimlik doğrulama paketleri gibi uzantı kodunun yüklenmesini bildirir. Bu alt kategori için olaylar şunlardır: — 4610: Yerel Güvenlik Yetkilisi tarafından bir kimlik doğrulama paketi yüklendi. — 4611: Yerel Güvenlik Yetkilisi'ne güvenilen bir oturum açma işlemi kaydedildi. — 4614: Güvenlik Hesabı Yöneticisi tarafından bir bildirim paketi yüklendi. — 4622: Yerel Güvenlik Yetkilisi tarafından bir güvenlik paketi yüklendi. — 4697: Sisteme bir hizmet yüklendi. Bu ayar hakkında en son bilgiler için "Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması" Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9211-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Success şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.9.4 |
>= Başarı (Denetim) |
Kritik |
Sistem Bütünlüğünü Denetleme (CCE-37132-8) |
Açıklama: Bu alt kategori, güvenlik alt sisteminin bütünlüğü ihlallerini bildirir. Bu alt kategori için olaylar şunlardır: — 4612: Denetim iletilerinin kuyruğa eklenmesi için ayrılan iç kaynaklar tükendi ve bazı denetimlerin kaybolmasına neden oldu. — 4615: LPC bağlantı noktasının geçersiz kullanımı. — 4618: İzlenen bir güvenlik olayı düzeni oluştu. — 4816 : RPC, gelen iletinin şifresini çözerken bir bütünlük ihlali algılandı. — 5038: Kod bütünlüğü, bir dosyanın görüntü karması geçerli olmadığını belirledi. Dosya yetkisiz değişiklik nedeniyle bozuk olabilir veya geçersiz karma olası bir disk cihazı hatasına işaret edebilir. — 5056: Şifreleme kendi kendine test yapıldı. — 5057: Şifreleme temel işlemi başarısız oldu. — 5060: Doğrulama işlemi başarısız oldu. — 5061: Şifreleme işlemi. — 5062: Çekirdek modu şifreleme kendi kendine sınaması yapıldı. Bu ayar hakkında en son bilgiler için 'Windows Vista ve Windows Server 2008'de güvenlik olaylarının açıklaması' Microsoft Bilgi Bankası makalesine bakın: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Anahtar Yolu: {0CCE9212-69AE-11D9-BED3-505054503030} İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu 'Başarılı ve Başarısız' olarak ayarlayın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Advanced Audit Policy Configuration\Audit Policies\System\Audit System Integrity Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 17.9.5 |
= Başarı ve Başarısızlık (Denetim) |
Kritik |
Kullanıcı Hakları Ataması
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Kimlik Bilgileri Yöneticisi'ne güvenilen arayan olarak eriş (CCE-37056-9) |
Açıklama: Bu güvenlik ayarı, Yedekleme ve Geri Yükleme sırasında Kimlik Bilgileri Yöneticisi tarafından kullanılır. Yalnızca Winlogon'a atandığından hiçbir hesap bu kullanıcı hakkına sahip olmamalıdır. Bu kullanıcı hakkı diğer varlıklara atanmışsa, kullanıcıların kayıtlı kimlik bilgileri tehlikeye girebilir. Bu ayar için önerilen durum: No One .Anahtar Yolu: [Privilege Rights]SeTrustedCredManAccessPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No One ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Access Credential Manager'ı güvenilen arayan olarak Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= Hiç Kimse Yok (İlke) |
Uyarı |
Bu bilgisayara ağ üzerinden eriş (CCE-35818-4) |
Açıklama: Bu ilke ayarı, ağdaki diğer kullanıcıların bilgisayara bağlanmasına olanak tanır ve Sunucu İleti Bloğu (SMB) tabanlı protokoller, NetBIOS, Ortak İnternet Dosya Sistemi (CIFS) ve Bileşen Nesne Modeli Artı (COM+) gibi çeşitli ağ protokolleri tarafından gereklidir. - Düzey 1 - Etki Alanı Denetleyicisi. Bu ayar için önerilen durum: 'Yönetici istrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS'. - Düzey 1 - Üye Sunucu. Bu ayar için önerilen durum: 'Yönetici istrators, Kimliği Doğrulanmış Kullanıcılar'. Anahtar Yolu: [Privilege Rights]SeNetworkLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Bu bilgisayara ağdan erişme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Yönetici istrators, Kimliği Doğrulanmış Kullanıcılar (İlke) |
Kritik |
İşletim sisteminin parçası gibi davran (CCE-36876-1) |
Açıklama: Bu ilke ayarı, bir işlemin herhangi bir kullanıcının kimliğini varsaymasına ve bu nedenle kullanıcının erişim yetkisine sahip olduğu kaynaklara erişmesine olanak tanır. Bu ayar için önerilen durum: No One .Anahtar Yolu: [Privilege Rights]SeTcbPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No One ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Act as as the operating system Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= Hiç Kimse Yok (İlke) |
Kritik |
Yerel olarak oturum açmaya izin ver (CCE-37659-0) |
Açıklama: Bu ilke ayarı, ortamınızdaki bilgisayarlarda hangi kullanıcıların etkileşimli olarak oturum açabileceğini belirler. İstemci bilgisayar klavyesinde CTRL+ALT+DEL tuş dizisine basılarak başlatılan oturum açma işlemleri için bu kullanıcı hakkı gerekir. Terminal Hizmetleri veya IIS aracılığıyla oturum açmaya çalışan kullanıcılar da bu kullanıcı hakkını gerektirir. Konuk hesabına varsayılan olarak bu kullanıcı hakkı atanır. Bu hesap varsayılan olarak devre dışı bırakılmış olsa da, Microsoft bu ayarı Grup İlkesi aracılığıyla etkinleştirmenizi önerir. Ancak, bu kullanıcı hakkı genellikle Yönetici istrators ve Users gruplarıyla sınırlandırılmalıdır. Kuruluşunuz bu özelliğe sahip olmasını gerektiriyorsa bu kullanıcıyı Backup Operators grubuna atayın. SCM'de bir kullanıcı hakkını yapılandırırken virgülle ayrılmış bir hesap listesi girin. Hesaplar yerel veya Active Directory'de bulunabilir, gruplar, kullanıcılar veya bilgisayarlar olabilir. Anahtar Yolu: [Privilege Rights]SeInteractiveLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Yerel olarak oturum açmaya izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.7 |
= Yönetici istrators (İlke) |
Kritik |
Uzak Masaüstü Hizmetleri üzerinden oturum açmaya izin ver (CCE-37072-6) |
Açıklama: Bu ilke ayarı, hangi kullanıcıların veya grupların Terminal Hizmetleri istemcisi olarak oturum açma hakkına sahip olduğunu belirler. Uzak masaüstü kullanıcıları bu kullanıcı hakkını gerektirir. Kuruluşunuz, yardım masası stratejisinin bir parçası olarak Uzaktan Yardım kullanıyorsa, bir grup oluşturun ve bu kullanıcıyı doğrudan Grup İlkesi aracılığıyla atayın. Kuruluşunuzdaki yardım masası Uzaktan Yardım kullanmıyorsa, bu kullanıcı hakkını yalnızca Yönetici istrators grubuna atayın veya hiçbir kullanıcı hesabının Uzak Masaüstü Kullanıcıları grubunun parçası olmadığından emin olmak için kısıtlanmış gruplar özelliğini kullanın. İstenmeyen kullanıcıların Uzaktan Yardım özelliği aracılığıyla ağınızdaki bilgisayarlara erişmesini önlemek için bu kullanıcı hakkını Yönetici istrators grubuyla ve büyük olasılıkla Uzak Masaüstü Kullanıcıları grubuyla kısıtlayın. - Düzey 1 - Etki Alanı Denetleyicisi. Bu ayar için önerilen durum: 'Yönetici istrators'. - Düzey 1 - Üye Sunucu. Bu ayar için önerilen durum: 'Yönetici istrators, Uzak Masaüstü Kullanıcıları'. Not: Uzak Masaüstü Bağlan ion Aracısı Rol Hizmeti ile Uzak Masaüstü Hizmetleri Rolünü barındıran bir Üye Sunucu, 'Kimliği Doğrulanmış Kullanıcılar' grubuna bu kullanıcı hakkının verilmesine izin vermek için bu öneride özel bir özel durum gerektirir. Not 2: Yukarıdaki listeler, bu önerinin geçirilmesi için yukarıdaki sorumluların mevcut olmaması gerektiği anlamına gelen izin verilenler listesi olarak ele alınmalıdır. Anahtar Yolu: [Privilege Rights]SeRemoteInteractiveLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Uzak Masaüstü Hizmetleri aracılığıyla oturum açmaya izin ver Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Yönetici istrators, Uzak Masaüstü Kullanıcıları (İlke) |
Kritik |
Dosya ve dizinleri yedekle (CCE-35912-5) |
Açıklama: Bu ilke ayarı, kullanıcıların sistemi yedeklemek için dosya ve dizin izinlerini aşmasına olanak tanır. Bu kullanıcı hakkı yalnızca bir uygulama (NTBACKUP gibi) NTFS dosya sistemi yedekleme uygulaması programlama arabirimi (API) aracılığıyla bir dosyaya veya dizine erişmeye çalıştığında etkinleştirilir. Aksi takdirde, atanan dosya ve dizin izinleri uygulanır. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeBackupPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın.Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Dosyaları ve dizinleri yedekleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Yönetici istrators, Backup Operators, Server Operators (İlke) |
Kritik |
Çapraz geçiş denetimini atla (AZ-WIN-00184) |
Açıklama: Bu ilke ayarı, Klasör Geçişi erişim izni olmayan kullanıcıların NTFS dosya sistemindeki veya kayıt defterindeki bir nesne yoluna göz atarken klasörlerden geçmesine olanak tanır. Bu kullanıcı hakkı, kullanıcıların bir klasörün içeriğini listelemesine izin vermez. SCM'de bir kullanıcı hakkını yapılandırırken virgülle ayrılmış bir hesap listesi girin. Hesaplar yerel veya Active Directory'de bulunabilir, gruplar, kullanıcılar veya bilgisayarlar olabilir. Anahtar Yolu: [Privilege Rights]SeChangeNotifyPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Geçiş denetimini atlama için ilke değerini yalnızca aşağıdaki hesapları veya grupları içerecek şekilde yapılandırın: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service Uyumluluk Standart Eşlemeleri: |
<= Yönetici istrators, Kimliği Doğrulanmış Kullanıcılar, Yedekleme İşleçleri, Yerel Hizmet, Ağ Hizmeti (İlke) |
Kritik |
Sistem saatini değiştir (CCE-37452-0) |
Açıklama: Bu ilke ayarı, ortamınızdaki bilgisayarların iç saatinde hangi kullanıcıların ve grupların saati ve tarihi değiştirebileceğini belirler. Bu kullanıcı hakkı atanan kullanıcılar, olay günlüklerinin görünümünü etkileyebilir. Bilgisayarın saat ayarı değiştirildiğinde, günlüğe kaydedilen olaylar olayların gerçekleştiği gerçek saati değil yeni saati yansıtır. SCM'de bir kullanıcı hakkını yapılandırırken virgülle ayrılmış bir hesap listesi girin. Hesaplar yerel veya Active Directory'de bulunabilir, gruplar, kullanıcılar veya bilgisayarlar olabilir. Not: Yerel bilgisayardaki ve ortamınızdaki etki alanı denetleyicilerindeki süre arasındaki tutarsızlıklar Kerberos kimlik doğrulama protokolünde sorunlara neden olabilir ve bu da kullanıcıların oturum açtıktan sonra etki alanında oturum açmasını veya etki alanı kaynaklarına erişim yetkisi almasını imkansız hale getirebilir. Ayrıca, sistem saati etki alanı denetleyicileriyle eşitlenmemişse istemci bilgisayarlara Grup İlkesi uygulandığında sorunlar oluşur. Bu ayar için önerilen durum: Administrators, LOCAL SERVICE .Anahtar Yolu: [Privilege Rights]SeSystemtimePrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators, LOCAL SERVICE ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Sistem saatini değiştirme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Yönetici istrators, Sunucu İşleçleri, YEREL HİzMET (İlke) |
Kritik |
Saat dilimi değiştir (CCE-37700-2) |
Açıklama: Bu ayar, bilgisayarın saat dilimini değiştirebilecek kullanıcıları belirler. Bu özellik bilgisayar için büyük bir tehlikeyi barındırabilir ve mobil çalışanlar için yararlı olabilir. Bu ayar için önerilen durum: Administrators, LOCAL SERVICE .Anahtar Yolu: [Privilege Rights]SeTimeZonePrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators, LOCAL SERVICE ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Saat dilimini değiştirme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Yönetici istrators, LOCAL SERVICE (İlke) |
Kritik |
Disk belleği dosyası oluştur (CCE-35821-8) |
Açıklama: Bu ilke ayarı kullanıcıların disk belleği dosyasının boyutunu değiştirmesine olanak tanır. Bir saldırgan, disk belleği dosyasını son derece büyük veya son derece küçük hale getirerek güvenliği aşılmış bir bilgisayarın performansını kolayca etkileyebilir. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeCreatePagefilePrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Create a pagefile Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Yönetici istrators (İlke) |
Kritik |
Belirteç nesnesi oluştur (CCE-36861-3) |
Açıklama: Bu ilke ayarı, bir işlemin hassas verilere erişmek için yükseltilmiş haklar sağlayabilen bir erişim belirteci oluşturmasına olanak tanır. Bu ayar için önerilen durum: No One .Anahtar Yolu: [Privilege Rights]SeCreateTokenPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No One ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Belirteç nesnesi oluşturma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= Hiç Kimse Yok (İlke) |
Uyarı |
Genel nesneler oluştur (CCE-37453-8) |
Açıklama: Bu ilke ayarı, kullanıcıların tüm oturumlarda kullanılabilen genel nesneler oluşturup oluşturamayacağını belirler. Kullanıcılar, bu kullanıcı haklarına sahip değilse kendi oturumlarına özgü nesneler oluşturmaya devam edebilir. Genel nesneler oluşturabilen kullanıcılar, diğer kullanıcıların oturumları altında çalışan işlemleri etkileyebilir. Bu özellik, uygulama hatası veya veri bozulması gibi çeşitli sorunlara yol açabilir. Bu ayar için önerilen durum: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE . Not: Microsoft SQL Server ve isteğe bağlı "Integration Services" bileşeninin yüklü olduğu bir Üye Sunucu, bu kullanıcı hakkına sql tarafından oluşturulan ek girişlerin verilmesi için bu öneride özel bir özel durum gerektirir.Anahtar Yolu: [Privilege Rights]SeCreateGlobalPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Genel nesneler oluşturma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Yönetici istrators, SERVICE, LOCAL SERVICE, NETWORK SERVICE (İlke) |
Uyarı |
Kalıcı paylaşılan nesneler oluştur (CCE-36532-0) |
Açıklama: Bu kullanıcı hakkı, nesne ad alanını genişleten çekirdek modu bileşenleri için yararlıdır. Ancak, çekirdek modunda çalışan bileşenler bu kullanıcıya doğal olarak sahiptir. Bu nedenle, bu kullanıcı hakkının özel olarak atanması genellikle gerekli değildir. Bu ayar için önerilen durum: No One .Anahtar Yolu: [Privilege Rights]SeCreatePermanentPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No One ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Kalıcı paylaşılan nesneler oluşturma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= Hiç Kimse Yok (İlke) |
Uyarı |
Simgesel bağlantılar oluştur (CCE-35823-4) |
Açıklama: Bu ilke ayarı, hangi kullanıcıların sembolik bağlantılar oluşturabileceğini belirler. Windows Vista'da, dosyalar ve klasörler gibi mevcut NTFS dosya sistemi nesnelerine sembolik bağlantı adı verilen yeni bir dosya sistemi nesnesine başvurularak erişilebilir. Sembolik bağlantı, bir dosya, klasör, kısayol veya başka bir sembolik bağlantı olabilecek başka bir dosya sistemi nesnesine işaretçidir (kısayol veya .lnk dosyası gibi). Kısayol ile sembolik bağlantı arasındaki fark, kısayolların yalnızca Windows kabuğu içinden çalışmasıdır. Diğer programlar ve uygulamalar için kısayollar yalnızca başka bir dosyadır, ancak sembolik bağlantılarla birlikte, bir kısayol kavramı NTFS dosya sisteminin bir özelliği olarak uygulanır. Sembolik bağlantılar, bunları kullanmak üzere tasarlanmamış uygulamalarda güvenlik açıklarını ortaya çıkarabilir. Bu nedenle, sembolik bağlantılar oluşturma ayrıcalığı yalnızca güvenilen kullanıcılara atanmalıdır. Varsayılan olarak, yalnızca Yönetici istrator'lar sembolik bağlantılar oluşturabilir. - Düzey 1 - Etki Alanı Denetleyicisi. Bu ayar için önerilen durum: 'Yönetici istrators'. - Düzey 1 - Üye Sunucu. Bu ayar için önerilen durum: 'Yönetici istrators' ve (Hyper-V Rolü yüklendiğinde) 'NT VIRTUAL MACHINE\Sanal Makineler'. Anahtar Yolu: [Privilege Rights]SeCreateSymbolicLinkPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Önerilen yapılandırma durumunu uygulamak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Create symbolic links Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Yönetici istrators, NT VIRTUAL MACHINE\Sanal Makineler (İlke) |
Kritik |
Programların hatalarını ayıkla (AZ-WIN-73755) |
Açıklama: Bu ilke ayarı, hassas ve kritik işletim sistemi bileşenlerine tam erişim sağlayan herhangi bir işleme veya çekirdekte hata ayıklayıcı ekleme hakkına sahip olacak kullanıcı hesaplarını belirler. Kendi uygulamalarında hata ayıklayan geliştiricilerin bu kullanıcı hakkına atanması gerekmez; ancak, yeni sistem bileşenlerinde hata ayıklayan geliştiricilerin buna ihtiyacı olacaktır. Bu ayar için önerilen durum: Administrators . Not: Bu kullanıcı hakkı, denetim amacıyla "hassas ayrıcalık" olarak kabul edilir.Anahtar Yolu: [Privilege Rights]SeDebugPrivilege İşletim sistemi: WS2016, WS2019 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Programlarda hata ayıklama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Yönetici istrators (İlke) |
Kritik |
Bu bilgisayara ağ üzerinden erişime izin verme (CCE-37954-5) |
Açıklama: Bu ilke ayarı, kullanıcıların ağ üzerinden bir bilgisayara bağlanmasını yasaklar ve bu da kullanıcıların verilere uzaktan erişmesine ve bunları değiştirmesine olanak tanır. Yüksek güvenlikli ortamlarda, uzak kullanıcıların bilgisayardaki verilere erişmesine gerek yoktur. Bunun yerine, dosya paylaşımının ağ sunucularının kullanımıyla gerçekleştirilmesi gerekir. - Düzey 1 - Etki Alanı Denetleyicisi. Bu ayar için önerilen durum şunlardır: 'Konuklar, Yerel hesap'. - Düzey 1 - Üye Sunucu. Bu ayar için önerilen durum şunlardır: 'Konuklar, Yerel hesap ve Yönetici istrators grubunun üyesi'. Dikkat: Yukarıda açıklandığı gibi tek başına (etki alanına katılmamış) bir sunucu yapılandırmak, sunucuyu uzaktan yönetememeyle sonuçlanabilir. Not: Bir üye sunucuyu veya tek başına sunucuyu yukarıda açıklandığı gibi yapılandırmak, yerel hizmet hesabı oluşturan ve bunu Yönetici istrators grubuna yerleştiren uygulamaları olumsuz etkileyebilir. Bu durumda, uygulamayı etki alanı tarafından barındırılan bir hizmet hesabı kullanacak şekilde dönüştürmeniz veya Yerel hesabı ve Yönetici istrators grubunun üyesini bu Kullanıcı Hakkı Atamasından kaldırmanız gerekir. Etki alanı tarafından barındırılan bir hizmet hesabı kullanmak, mümkün olduğunda bu kuralda özel durum oluşturmak yerine kesinlikle tercih edilir. Anahtar Yolu: [Privilege Rights]SeDenyNetworkLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Ağdan bu bilgisayara erişimi reddet Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= Konuklar (İlke) |
Kritik |
Toplu iş olarak oturum açmayı reddet (CCE-36923-1) |
Açıklama: Bu ilke ayarı, hangi hesapların bilgisayarda toplu iş olarak oturum açamayacağını belirler. Toplu iş, toplu iş (.bat) dosyası değil, toplu iş kuyruğu özelliğidir. İşleri zamanlamak için Görev Zamanlayıcı'yı kullanan hesaplar bu kullanıcı hakkına ihtiyaç duyar. Toplu iş olarak oturum açmayı reddet kullanıcı hakkı, hesapların aşırı sistem kaynakları kullanan işleri zamanlamasına izin vermek için kullanılabilen Toplu iş olarak oturum açma kullanıcı hakkını geçersiz kılar. Böyle bir durum DoS koşuluna neden olabilir. Bu kullanıcı hakkının önerilen hesaplara atanamaması bir güvenlik riski olabilir. Bu ayar için önerilen durum şunlardır: Guests .Anahtar Yolu: [Privilege Rights]SeDenyBatchLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Guests şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Toplu iş olarak oturum açmayı reddet Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Konuklar (İlke) |
Kritik |
Hizmet olarak oturum açmayı reddet (CCE-36877-9) |
Açıklama: Bu güvenlik ayarı, hangi hizmet hesaplarının bir işlemi hizmet olarak kaydetmesini engellediğini belirler. Bu ilke ayarı, bir hesap her iki ilkeye de tabiyse Hizmet olarak oturum aç ilke ayarının yerini alır. Bu ayar için önerilen durum şunlardır: Guests . Not: Bu güvenlik ayarı Sistem, Yerel Hizmet veya Ağ Hizmeti hesapları için geçerli değildir.Anahtar Yolu: [Privilege Rights]SeDenyServiceLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Guests şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Hizmet olarak oturum açmayı reddet Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Konuklar (İlke) |
Kritik |
Yerel olarak oturum açmayı reddet (CCE-37146-8) |
Açıklama: Bu güvenlik ayarı, hangi kullanıcıların bilgisayarda oturum açmasının engelleneceğini belirler. Bu ilke ayarı, bir hesap her iki ilkeye de tabiyse Yerel olarak oturum açmaya izin ver ilke ayarının yerini alır. Önemli: Bu güvenlik ilkesini Herkes grubuna uygularsanız, kimse yerel olarak oturum açamaz. Bu ayar için önerilen durum şunlardır: Guests .Anahtar Yolu: [Privilege Rights]SeDenyInteractiveLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu içerecek Guests şekilde ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Yerel olarak oturum açmayı reddet Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= Konuklar (İlke) |
Kritik |
Uzak Masaüstü Hizmetleri üzerinden oturum açmayı reddet (CCE-36867-0) |
Açıklama: Bu ilke ayarı, kullanıcıların Terminal Hizmetleri istemcileri olarak oturum açıp açamayacağını belirler. Temel üye sunucu bir etki alanı ortamına katıldıktan sonra, sunucuya ağdan erişmek için yerel hesapların kullanılması gerekmez. Etki alanı hesapları, yönetim ve son kullanıcı işleme için sunucuya erişebilir. Bu ayar için önerilen durum şunlardır: Guests, Local account . Dikkat: Yukarıda açıklandığı gibi tek başına (etki alanına katılmamış) bir sunucu yapılandırmak, sunucuyu uzaktan yönetememeyle sonuçlanabilir.Anahtar Yolu: [Privilege Rights]SeDenyRemoteInteractiveLogonRight İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Uzak Masaüstü Hizmetleri aracılığıyla oturum açmayı reddet Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.26 |
>= Konuklar (İlke) |
Kritik |
Temsilci seçme için bilgisayar ve kullanıcı hesaplarına güvenilmesini etkinleştir (CCE-36860-5) |
Açıklama: Bu ilke ayarı, kullanıcıların Active Directory'deki bir bilgisayar nesnesinde Temsilci Için Güvenilen ayarını değiştirmesine olanak tanır. Bu ayrıcalığı kötüye kullanmak, yetkisiz kullanıcıların ağdaki diğer kullanıcıların kimliğine bürünmelerine izin verebilir. - Düzey 1 - Etki Alanı Denetleyicisi. Bu ayar için önerilen durum: 'Yönetici istrators' - Düzey 1 - Üye Sunucu. Bu ayar için önerilen durum: 'Hiç Kimse'. Anahtar Yolu: [Privilege Rights]SeEnableDelegationPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Temsilci seçme için bilgisayar ve kullanıcı hesaplarının güvenilir olmasını etkinleştirme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= Hiç Kimse Yok (İlke) |
Kritik |
Uzak sistemden kapatmayı zorla (CCE-37877-8) |
Açıklama: Bu ilke ayarı, kullanıcıların Windows Vista tabanlı bilgisayarları ağdaki uzak konumlardan kapatmasına olanak tanır. Bu kullanıcı hakkı atanmış olan herkes bir hizmet reddi (DoS) koşuluna neden olabilir ve bu da bilgisayarın kullanıcı isteklerine hizmet vermesine engel olabilir. Bu nedenle, yalnızca son derece güvenilir yöneticilere bu kullanıcı hakkı atanmalıdır. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeRemoteShutdownPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Force shutdown from a remote system Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Yönetici istrators (İlke) |
Kritik |
Güvenlik denetimleri oluştur (CCE-37639-2) |
Açıklama: Bu ilke ayarı, Güvenlik günlüğünde hangi kullanıcıların veya işlemlerin denetim kayıtları oluşturabileceğini belirler. Bu ayar için önerilen durum: LOCAL SERVICE, NETWORK SERVICE . Not: Web Sunucusu Rol Hizmeti ile Web Sunucusu (IIS) Rolünü barındıran bir Üye Sunucu, IIS uygulama havuzlarına bu kullanıcı hakkının verilmesine izin vermek için bu öneride özel bir özel durum gerektirir. Not 2: Active Directory Federasyon Hizmetleri (AD FS) Rolünü barındıran bir Üye Sunucu, ve NT SERVICE\DRS hizmetlerinin yanı sıra ilişkili Active Directory Federasyon Hizmetleri (AD FS) izin vermek NT SERVICE\ADFSSrv için bu öneri için özel bir özel durum gerektirir hizmet hesabına bu kullanıcı hakkı verilecektir.Anahtar Yolu: [Privilege Rights]SeAuditPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak LOCAL SERVICE, NETWORK SERVICE ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Generate security audits Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= Yerel Hizmet, Ağ Hizmeti, IIS APPPOOL\DefaultAppPool (İlke) |
Kritik |
İşlem çalışma kümesini artır (AZ-WIN-00185) |
Açıklama: Bu ayrıcalık, hangi kullanıcı hesaplarının bir işlemin çalışma kümesinin boyutunu artırabileceğini veya azaltabileceğini belirler. Bir işlemin çalışma kümesi, şu anda fiziksel RAM belleğindeki işlem tarafından görülebilen bellek sayfaları kümesidir. Bu sayfalar yerleşiktir ve bir uygulamanın sayfa hatası tetiklemeden kullanması için kullanılabilir. En düşük ve en yüksek çalışma kümesi boyutları, bir işlemin sanal bellek disk belleği davranışını etkiler. SCM'de bir kullanıcı hakkını yapılandırırken virgülle ayrılmış bir hesap listesi girin. Hesaplar yerel veya Active Directory'de bulunabilir, gruplar, kullanıcılar veya bilgisayarlar olabilir. Anahtar Yolu: [Privilege Rights]SeIncreaseWorkingSetPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Increase a process working set Uyumluluk Standart Eşlemeleri: |
<= Yönetici istrators, Yerel Hizmet (İlke) |
Uyarı |
Zamanlama önceliğini artır (CCE-38326-5) |
Açıklama: Bu ilke ayarı, kullanıcıların bir işlemin temel öncelik sınıfını artırıp artıramayacağını belirler. (Öncelik sınıfı içinde göreli önceliği artırmak ayrıcalıklı bir işlem değildir.) Bu kullanıcı hakkı, işletim sistemiyle birlikte sağlanan yönetim araçları için gerekli değildir, ancak yazılım geliştirme araçları için gerekli olabilir. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeIncreaseBasePriorityPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators, Window Manager\Window Manager Group ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Increase scheduling priority Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Yönetici istrators (İlke) |
Uyarı |
Aygıt sürücüleri yükle ve kaldır (CCE-36318-4) |
Açıklama: Bu ilke ayarı, kullanıcıların sisteme dinamik olarak yeni bir cihaz sürücüsü yüklemesini sağlar. Bir saldırgan, cihaz sürücüsü gibi görünen kötü amaçlı kodları yüklemek için bu özelliği kullanabilir. Bu kullanıcı hakkı, kullanıcıların Windows Vista'da yerel yazıcılar veya yazıcı sürücüleri eklemesi için gereklidir. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeLoadDriverPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Cihaz sürücülerini yükleme ve kaldırma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Yönetici istrators, Print Operators (İlke) |
Uyarı |
Sayfaları bellekte kilitle (CCE-36495-0) |
Açıklama: Bu ilke ayarı, bir işlemin verileri fiziksel bellekte tutmasına olanak tanır ve bu da sistemin verileri diskteki sanal belleğe sayfalamasını önler. Bu kullanıcı hakkı atanırsa, sistem performansında önemli bir düşüş oluşabilir. Bu ayar için önerilen durum: No One .Anahtar Yolu: [Privilege Rights]SeLockMemoryPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No One ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Bellekteki sayfaları kilitleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= Hiç Kimse Yok (İlke) |
Uyarı |
Denetim ve güvenlik günlüğünü yönetme (CCE-35906-7) |
Açıklama: Bu ilke ayarı, hangi kullanıcıların dosyalar ve dizinler için denetim seçeneklerini değiştirebileceğini belirler ve Güvenlik günlüğünü temizler. Microsoft Exchange Server çalıştıran ortamlar için, 'Exchange Servers' grubunun düzgün çalışması için Etki Alanı Denetleyicilerinde bu ayrıcalığına sahip olması gerekir. Bu durum göz önüne alındığında, 'Exchange Servers' grubuna bu ayrıcalığı veren DC'ler bu karşılaştırmaya uygun olur. Ortam Microsoft Exchange Server kullanmıyorsa, bu ayrıcalık yalnızca DC'lerdeki 'Yönetici istrator'larla sınırlı olmalıdır. - Düzey 1 - Etki Alanı Denetleyicisi. Bu ayar için önerilen durum: 'Yönetici istrators ve (Exchange ortamda çalışırken) 'Exchange Sunucuları'. - Düzey 1 - Üye Sunucu. Bu ayar için önerilen durum: 'Yönetici istrators' Anahtar Yolu: [Privilege Rights]SeSecurityPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu yapılandırın: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Manage auditing and security log Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Yönetici istrators (İlke) |
Kritik |
Nesne etiketini değiştir (CCE-36054-5) |
Açıklama: Bu ayrıcalık, hangi kullanıcı hesaplarının dosyalar, kayıt defteri anahtarları veya diğer kullanıcıların sahip olduğu işlemler gibi nesnelerin bütünlük etiketini değiştirebileceğini belirler. Kullanıcı hesabı altında çalışan işlemler, bu ayrıcalık olmadan söz konusu kullanıcının sahip olduğu bir nesnenin etiketini daha düşük bir düzeye değiştirebilir. Bu ayar için önerilen durum: No One .Anahtar Yolu: [Privilege Rights]SeRelabelPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak No One ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Nesne etiketini değiştirme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= Hiç Kimse Yok (İlke) |
Uyarı |
Üretici yazılımı ortam değerlerini değiştir (CCE-38113-7) |
Açıklama: Bu ilke ayarı, kullanıcıların donanım yapılandırmasını etkileyen sistem genelindeki ortam değişkenlerini yapılandırmasına olanak tanır. Bu bilgiler genellikle Bilinen Son İyi Yapılandırma'da depolanır. Bu değerlerin değiştirilmesi ve hizmet reddi koşuluna neden olacak bir donanım hatasına yol açabilir. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeSystemEnvironmentPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Üretici yazılımı ortam değerlerini değiştirme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Yönetici istrators (İlke) |
Uyarı |
Birim bakım görevleri gerçekleştir (CCE-36143-6) |
Açıklama: Bu ilke ayarı, kullanıcıların sistemin birim veya disk yapılandırmasını yönetmesine olanak tanır. Bu, kullanıcının birimi silmesine ve veri kaybına ve hizmet reddi koşuluna neden olabilir. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeManageVolumePrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Local Policies\User Rights Assignment\Perform volume maintenance tasks Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Yönetici istrators (İlke) |
Uyarı |
Tek işlem profili oluştur (CCE-37131-0) |
Açıklama: Bu ilke ayarı, sistem dışı işlemlerin performansını izlemek için hangi kullanıcıların araçları kullanabileceğini belirler. Genellikle, Microsoft Yönetim Konsolu (MMC) Performans ek bileşenini kullanmak için bu kullanıcı hakkını yapılandırmanız gerekmez. Ancak, Sistem İzleyicisi Windows Yönetim Araçları (WMI) kullanılarak veri toplayacak şekilde yapılandırılmışsa bu kullanıcı hakkına ihtiyacınız vardır. Profil tek işlem kullanıcı hakkının kısıtlanması, davetsiz misafirlerin sisteme bir saldırıyı bağlamak için kullanılabilecek ek bilgiler edinmesini önler. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeProfileSingleProcessPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Profil tek işlemi Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Yönetici istrators (İlke) |
Uyarı |
Sistem performansı profili oluştur (CCE-36052-9) |
Açıklama: Bu ilke ayarı, kullanıcıların farklı sistem işlemlerinin performansını görüntülemek için araçları kullanmasına olanak tanır. Bu, saldırganların sistemin etkin işlemlerini belirlemesine ve bilgisayarın olası saldırı yüzeyi hakkında içgörü sağlamasına olanak sağlamak için kötüye kullanılabilir. Bu ayar için önerilen durum: Administrators, NT SERVICE\WdiServiceHost .Anahtar Yolu: [Privilege Rights]SeSystemProfilePrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators, NT SERVICE\WdiServiceHost ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Profil sistem performansı Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Yönetici istrators, NT SERVICE\WdiServiceHost (İlke) |
Uyarı |
İşlem düzeyi belirtecini değiştir (CCE-37430-6) |
Açıklama: Bu ilke ayarı, bir işlemin veya hizmetin farklı bir güvenlik erişim belirteci ile başka bir hizmet veya işlem başlatmasına olanak tanır. Bu ayar, bu alt işlemin güvenlik erişim belirtecini değiştirmek ve ayrıcalıkların yükseltilmesine neden olmak için kullanılabilir. Bu ayar için önerilen durum: LOCAL SERVICE, NETWORK SERVICE . Not: Web Sunucusu Rol Hizmeti ile Web Sunucusu (IIS) Rolünü barındıran bir Üye Sunucu, IIS uygulama havuzlarına bu kullanıcı hakkının verilmesine izin vermek için bu öneride özel bir özel durum gerektirir. Not 2: Microsoft SQL Server'ın yüklü olduğu bir Üye Sunucu, sql tarafından oluşturulan ek girişlerin bu kullanıcı hakkı verilmesi için bu öneride özel bir özel durum gerektirir.Anahtar Yolu: [Privilege Rights]SeAssignPrimaryTokenPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak LOCAL SERVICE, NETWORK SERVICE ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\İşlem düzeyi belirtecini değiştirme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= YEREL HIZMET, AĞ HIZMETI (İlke) |
Uyarı |
Dosya ve dizinleri geri yükle (CCE-37613-7) |
Açıklama: Bu ilke ayarı, ortamınızda Windows Vista çalıştıran bilgisayarlarda yedeklenen dosyaları ve dizinleri geri yüklerken hangi kullanıcıların dosya, dizin, kayıt defteri ve diğer kalıcı nesne izinlerini atlayabileceğinizi belirler. Bu kullanıcı hakkı, hangi kullanıcıların geçerli güvenlik sorumlularını nesne sahibi olarak ayarlayabileceğini de belirler; Yedekleme dosyaları ve dizinleri kullanıcı haklarına benzer. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeRestorePrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Dosyaları ve dizinleri geri yükleme Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.45 |
<= Yönetici istrators, Backup operators (İlke) |
Uyarı |
Sistemi kapat (CCE-38328-1) |
Açıklama: Bu ilke ayarı, ortamınızdaki bilgisayarlarda yerel olarak oturum açan kullanıcıların Kapat komutuyla işletim sistemini kapatabileceğini belirler. Bu kullanıcı hakkının kötüye kullanılması hizmet reddi koşuluna neden olabilir. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeShutdownPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Sistemi kapatma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Yönetici istrators, Backup operators (İlke) |
Uyarı |
Dosyaların veya diğer nesnelerin sahipliğini al (CCE-38325-7) |
Açıklama: Bu ilke ayarı kullanıcıların dosyaların, klasörlerin, kayıt defteri anahtarlarının, işlemlerin veya iş parçacıklarının sahipliğini almasını sağlar. Bu kullanıcı hakkı, belirtilen kullanıcıya sahiplik vermek üzere nesneleri korumak için var olan tüm izinleri atlar. Bu ayar için önerilen durum: Administrators .Anahtar Yolu: [Privilege Rights]SeTakeOwnershipPrivilege İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Administrators ayarlayın:Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Dosyaların veya diğer nesnelerin sahipliğini alma Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Yönetici istrators (İlke) |
Kritik |
Kimlik doğrulamasından sonra istemcinin kimliğine bürünme kullanıcı hakkı yalnızca Yönetici istrators, Service, Local Service ve Network Service'e atanmalıdır. (AZ-WIN-73785) |
Açıklama: İlke ayarı, kullanıcı adına çalışan programların kullanıcı adına hareket edebilmeleri için bu kullanıcının (veya belirtilen başka bir hesabın) kimliğine bürünmesini sağlar. Bu tür bir kimliğe bürünme için bu kullanıcı hakkı gerekiyorsa, yetkisiz bir kullanıcı istemciyi, örneğin uzaktan yordam çağrısı (RPC) veya adlandırılmış kanallar yoluyla bu istemcinin kimliğine bürünmek için oluşturduğu bir hizmete bağlanmaya ikna edemez ve bu da yetkisiz kullanıcının izinlerini yönetim veya sistem düzeylerine yükseltebilir. Hizmet Denetim Yöneticisi tarafından başlatılan hizmetler, erişim belirteçlerine varsayılan olarak eklenen yerleşik Hizmet grubuna sahiptir. COM altyapısı tarafından başlatılan ve belirli bir hesap altında çalışacak şekilde yapılandırılan COM sunucularının erişim belirteçlerine Hizmet grubu da eklenir. Sonuç olarak, bu işlemler başlatıldığında bu kullanıcıya doğru atanır. Ayrıca, aşağıdaki koşullardan herhangi biri varsa bir kullanıcı erişim belirtecinin kimliğine bürünebilir: - Kimliğine bürünülen erişim belirteci bu kullanıcıya yöneliktir. - Kullanıcı, bu oturum açma oturumunda erişim belirtecini oluşturmak için açık kimlik bilgileriyle ağda oturum açtı. - İstenen düzey Anonim veya Tanımla gibi Kimliğe Bürün'den küçük. Kimlik doğrulamasından sonra istemcinin kimliğine bürünme kullanıcı hakkına sahip bir saldırgan bir hizmet oluşturabilir, bir istemciyi hizmete bağlanması için kandırabilir ve ardından saldırganın istemcinin erişim düzeyini yükseltmek için istemcinin kimliğine bürünebilir. Bu ayar için önerilen durum: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE . Not: Bu kullanıcı hakkı, denetim amacıyla "hassas ayrıcalık" olarak kabul edilir. Not 2: Microsoft SQL Server ve isteğe bağlı "Integration Services" bileşeninin yüklü olduğu bir Üye Sunucu, sql tarafından oluşturulan ek girişlerin bu kullanıcı hakkı verilmesi için bu öneride özel bir özel durum gerektirir.Anahtar Yolu: [Privilege Rights]SeImpersonatePrivilege İşletim sistemi: WS2016, WS2019 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\Kimlik doğrulamasından sonra istemcinin kimliğine bürün Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Yönetici istrators,Service,Local Service,Network Service (İlke) |
Önemli |
Windows Bileşenleri
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
Temel kimlik doğrulamasına izin ver (CCE-36254-1) |
Açıklama: Bu ilke ayarı, Windows Uzaktan Yönetim (WinRM) hizmetinin uzak istemciden Temel kimlik doğrulamasını kabul edip etmediğini yönetmenizi sağlar. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Uzaktan Yönetimi (WinRM)\WinRM Hizmeti\Temel kimlik doğrulamasına izin ver Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu WindowsRemoteManagement.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Tanılama Verilerine İzin Ver (AZ-WIN-00169) |
Açıklama: Bu ilke ayarı, Microsoft'a bildirilen tanılama ve kullanım verilerinin miktarını belirler. 0 değeri Microsoft'a en az veri gönderir. Bu veriler Kötü Amaçlı Yazılımları Temizleme Aracı (MSRT) ve etkinse Windows Defender verilerini ve telemetri istemci ayarlarını içerir. 0 değerinin ayarlanması yalnızca kurumsal, EDU, IoT ve sunucu cihazları için geçerlidir. Diğer cihazlar için 0 değeri ayarlamak, 1 değerini seçmekle eşdeğerdir. 1 değeri yalnızca temel miktarda tanılama ve kullanım verisi gönderir. 0 veya 1 değerlerinin ayarlanmasının cihazdaki belirli deneyimleri düşüreceğini unutmayın. 2 değeri gelişmiş tanılama ve kullanım verileri gönderir. 3 değeri, 2 değeriyle aynı verileri ve soruna neden olmuş olabilecek dosyalar ve içerik de dahil olmak üzere ek tanılama verilerini gönderir. Windows 10 telemetri ayarları, Windows işletim sistemi ve bazı birinci taraf uygulamaları için geçerlidir. Bu ayar, Windows 10'da çalışan üçüncü taraf uygulamalar için geçerli değildir. Bu ayar için önerilen durum: Enabled: 0 - Security [Enterprise Only] . Not: "Telemetriye İzin Ver" ayarı "0 - Güvenlik [Yalnızca Kurumsal]" olarak yapılandırılmışsa, Windows Update'teki yükseltmeleri ve güncelleştirmeleri erteleme seçeneklerinin hiçbir etkisi olmaz.Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu veya Enabled: Send required diagnostic data olarak Enabled: Diagnostic data off (not recommended) ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Templates\Windows Components\Veri Toplama ve Önizleme Derlemeleri\Tanılama Verilerine İzin Ver Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 11 Release 21H2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'DataCollection.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Şablonları'nda bu ayar başlangıçta Telemetriye İzin Ver olarak adlandırılmıştı, ancak Windows 11 Release 21H2 Yönetici istrative Templates ile başlayan Tanılama Verilerine İzin Ver olarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (Kayıt Defteri) |
Uyarı |
Şifrelenmiş dosyaların dizinlenmesine izin ver (CCE-38277-0) |
Açıklama: Bu ilke ayarı, şifrelenmiş öğelerin dizine alınmasına izin verilip verilmeyeceğini denetler. Bu ayar değiştirildiğinde dizin tamamen yeniden oluşturulur. Şifrelenmiş dosyaların güvenliğini sağlamak için dizinin konumu için tam birim şifrelemesi (BitLocker Sürücü Şifrelemesi veya Microsoft dışı bir çözüm gibi) kullanılmalıdır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Search\Şifrelenmiş dosyaların dizinlenmesine izin ver Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu Search.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Microsoft hesaplarının isteğe bağlı olmasını sağlar (CCE-38354-7) |
Açıklama: Bu ilke ayarı, bir hesabın oturum açmasını gerektiren Windows Mağazası uygulamaları için Microsoft hesaplarının isteğe bağlı olup olmadığını denetlemenize olanak tanır. Bu ilke yalnızca onu destekleyen Windows Mağazası uygulamalarını etkiler. Bu ilke ayarını etkinleştirirseniz, genellikle bir Microsoft hesabının oturum açmasını gerektiren Windows Mağazası uygulamaları kullanıcıların bunun yerine bir kurumsal hesapla oturum açmasına izin verir. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, kullanıcıların bir Microsoft hesabıyla oturum açması gerekir. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional İşletim sistemi: WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\App runtime\Microsoft hesaplarının isteğe bağlı olmasını sağlama Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'AppXRuntime.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.6.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Şifrelenmemiş trafiğe izin ver (CCE-38223-4) |
Açıklama: Bu ilke ayarı, Windows Uzaktan Yönetim (WinRM) hizmetinin ağ üzerinden şifrelenmemiş iletiler gönderip göndermediğini ve alıp almadığını yönetmenizi sağlar. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Uzaktan Yönetim (WinRM)\WinRM Hizmeti\Şifrelenmemiş trafiğe izin ver Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu WindowsRemoteManagement.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Yüklemeler üzerinde kullanıcı denetimine izin ver (CCE-36400-0) |
Açıklama: Kullanıcıların genellikle yalnızca sistem yöneticileri tarafından kullanılabilen yükleme seçeneklerini değiştirmesine izin verir. Windows Installer'ın güvenlik özellikleri, kullanıcıların genellikle dosyaların yüklendiği dizini belirtme gibi sistem yöneticileri için ayrılmış yükleme seçeneklerini değiştirmesini engeller. Windows Installer, kullanıcının korumalı bir seçeneği değiştirmesine izin veren bir yükleme paketi algılarsa, yüklemeyi durdurur ve bir ileti görüntüler. Bu güvenlik özellikleri yalnızca yükleme programı, kullanıcıya engellenen dizinlere erişimi olan ayrıcalıklı bir güvenlik bağlamında çalıştığında çalışır. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Installer\Yüklemeler üzerinde kullanıcı denetimine izin ver Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu MSI.admx/adml tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Şablonları'nda bu ayar, Yüklemeler üzerinde kullanıcı denetimini etkinleştir olarak adlandırılmıştır, ancak Windows 8.0 ve Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Her zaman yükseltilmiş ayrıcalıklarla yükleme (CCE-37490-0) |
Açıklama: Bu ayar, Windows Installer sisteme herhangi bir program yüklerken sistem izinlerini kullanıp kullanmayacağını denetler. Not: Bu ayar hem Bilgisayar Yapılandırması hem de Kullanıcı Yapılandırması klasörlerinde görünür. Bu ayarın etkili olması için her iki klasördeki ayarı etkinleştirmeniz gerekir. Dikkat: Etkinleştirilirse, becerikli kullanıcılar bu ayarın ayrıcalıklarını değiştirmek ve kısıtlanmış dosya ve klasörlere kalıcı erişim elde etmek için bu ayarın sağladığı izinlerden yararlanabilir. Bu ayarın Kullanıcı Yapılandırması sürümünün güvenli olması garanti edilmediğini unutmayın. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Kullanıcı Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Installer\Her zaman yükseltilmiş ayrıcalıklarla yükleme Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu MSI.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Bağlantıda her zaman parola iste (CCE-37929-7) |
Açıklama: Bu ilke ayarı, Bağlantı sırasında Terminal Hizmetleri'nin istemci bilgisayardan her zaman parola isteyip istemediğinizi belirtir. Uzak Masaüstü Bağlan ion istemcisinde parolayı zaten sağlasalar bile Terminal Hizmetleri'nde oturum açan kullanıcılar için parola istemini zorunlu kılmak için bu ilke ayarını kullanabilirsiniz. Varsayılan olarak, Terminal Hizmetleri kullanıcıların Uzak Masaüstü Bağlan ion istemcisine parola girmeleri durumunda otomatik olarak oturum açmalarına olanak tanır. Not Bu ilke ayarını yapılandırmazsanız, yerel bilgisayar yöneticisi parolaların otomatik olarak gönderilmesine izin vermek veya bunları engellemek için Terminal Hizmetleri Yapılandırma aracını kullanabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Güvenlik\Bağlantıda her zaman parola iste Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Microsoft Windows Vista Yönetici istrative Templates'da bu ayar, Bağlantı sırasında her zaman istemciden parola iste olarak adlandırılmıştır, ancak Windows Server 2008 (R2 olmayan) Yönetici istrative Templates ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.3.9.1 |
= 1 (Kayıt Defteri) |
Kritik |
Uygulama: Günlük dosyası en büyük boyutuna ulaştığında Olay Günlüğü davranışını denetleme (CCE-37775-4) |
Açıklama: Bu ilke ayarı, günlük dosyası boyut üst sınırına ulaştığında Olay Günlüğü davranışını denetler. Bu ilke ayarını etkinleştirirseniz ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar günlüğe yazılmaz ve kaybolur. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar eski olayların üzerine yazılır. Not: Eski olaylar "Tam olarak yedekleme günlüğü" ilke ayarına göre korunabilir veya tutulamayabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Günlük dosyası boyut üst sınırına ulaştığında Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\Application\Control Olay Günlüğü davranışı Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta Eski olayları koru olarak adlandırılmıştı, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates ile başlayarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.1.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Uygulama: Günlük dosyası boyutunun üst sınırını belirtin (KB) (CCE-37948-7) |
Açıklama: Bu ilke ayarı, günlük dosyasının en büyük boyutunu kilobayt cinsinden belirtir. Bu ilke ayarını etkinleştirirseniz, günlük dosyası boyutu üst sınırını kilobayt artışlarıyla 1 megabayt (1024 kilobayt) ile 2 terabayt (2147483647 kilobayt) arasında olacak şekilde yapılandırabilirsiniz. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, günlük dosyasının en büyük boyutu yerel olarak yapılandırılmış değere ayarlanır. Bu değer, Günlük Özellikleri iletişim kutusu kullanılarak yerel yönetici tarafından değiştirilebilir ve varsayılan olarak 20 megabayt olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: 32,768 or greater ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\Application\En büyük günlük dosyası boyutunu belirtin (KB) Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta En Fazla Günlük Boyutu (KB) olarak adlandırılmıştır, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.1.2 |
>= 32768 (Kayıt Defteri) |
Kritik |
Tüm tüketici Microsoft hesabı kullanıcı kimlik doğrulamalarını engelle (AZ-WIN-20198) |
Açıklama: Bu ayar, cihazdaki uygulama ve hizmetlerin Windows OnlineID ve WebAccountManager API'ler aracılığıyla yeni tüketici Microsoft hesabı kimlik doğrulamasını kullanıp kullanamayacağını belirler. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth İşletim sistemi: WS2016, WS2019 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Microsoft hesapları\Tüm tüketici Microsoft hesabı kullanıcı kimlik doğrulamasını engelle Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (Kayıt Defteri) |
Kritik |
Microsoft MAPS'e raporlama için yerel ayarı geçersiz kılmayı yapılandırma (AZ-WIN-00173) |
Açıklama: Bu ilke ayarı, yapılandırmanın Microsoft MAPS'e katılması için yerel bir geçersiz kılma yapılandırıyor. Bu ayar yalnızca Grup İlkesi tarafından ayarlanabilir. Bu ayarı etkinleştirirseniz, yerel tercih ayarı Grup İlkesi'ne göre öncelikli olur. Bu ayarı devre dışı bırakırsanız veya yapılandırmazsanız, Grup İlkesi yerel tercih ayarına göre öncelik alır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Defender Virüsten Koruma\MAPS\Microsoft MAPS'e raporlama için yerel ayar geçersiz kılmayı yapılandırma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu WindowsDefender.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Windows SmartScreen'i yapılandırma (CCE-35859-8) |
Açıklama: Bu ilke ayarı, Windows SmartScreen'in davranışını yönetmenizi sağlar. Windows SmartScreen, İnternet'ten indirilen tanınmayan programları çalıştırmadan önce kullanıcıları uyararak bilgisayarların daha güvenli kalmasına yardımcı olur. Bu özelliğin etkinleştirildiği bilgisayarlarda çalıştırılacak dosyalar ve programlar hakkında Microsoft'a bazı bilgiler gönderilir. Bu ilke ayarını etkinleştirirseniz, Windows SmartScreen davranışı şu seçeneklerden biri ayarlanarak denetlenebilir: * İndirilen bilinmeyen yazılımı çalıştırmadan önce kullanıcıya bir uyarı verin * SmartScreen'i kapatın Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, Windows SmartScreen davranışı Güvenlik ve Bakım'daki Windows SmartScreen Ayarlar kullanılarak bilgisayardaki yöneticiler tarafından yönetilir. Seçenekler: * İndirilen bilinmeyen yazılımı çalıştırmadan önce kullanıcıya bir uyarı verin * SmartScreen'i kapatın Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için şu kullanıcı arabirimi yolunu Enabled olarak ayarlayın: Uyar ve atlamayı engelle: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Defender SmartScreen\Explorer\Windows Defender SmartScreen'i Yapılandırma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen WindowsExplorer.admx/adml Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta Windows SmartScreen'i Yapılandır olarak adlandırılmıştı, ancak Windows 10 Sürüm 1703 Yönetici istrative Şablonları ile başlayarak yeniden adlandırıldı.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.85.1.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Varsayılan RDP bağlantı noktasından değişikliği algılama (AZ-WIN-00156) |
Açıklama: Bu ayar, Uzak Masaüstü Bağlan ions'ı dinleyen ağ bağlantı noktasının varsayılan 3389'dan değiştirilip değiştirilmediğini belirler Anahtar Yolu: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Uygulanamaz Uyumluluk Standart Eşlemeleri: |
= 3389 (Kayıt Defteri) |
Kritik |
Windows Search Hizmetini devre dışı bırakma (AZ-WIN-00176) |
Açıklama: Bu kayıt defteri ayarı Windows Search Hizmeti'ni devre dışı bırakır Anahtar Yolu: System\CurrentControlSet\Services\Wsearch\Start İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Uygulanamaz Uyumluluk Standart Eşlemeleri: |
Yok veya = 4 (Kayıt Defteri) |
Kritik |
Birim olmayan cihazlar için Otomatik Yürütmeye İzin Verme (CCE-37636-8) |
Açıklama: Bu ilke ayarı, kameralar veya telefonlar gibi MTP cihazları için Otomatik Kullan'a izin vermiyor. Bu ilke ayarını etkinleştirirseniz, kameralar veya telefonlar gibi MTP cihazları için Otomatik Kullan'a izin verilmez. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, Birim olmayan cihazlar için Otomatik Kullan etkinleştirilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume İşletim sistemi: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Otomatik Yürütme İlkeleri\Birim olmayan cihazlar için Otomatik Yürütmeye İzin Verme Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'AutoPlay.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.8.1 |
= 1 (Kayıt Defteri) |
Kritik |
Özet kimlik doğrulamasına izin verme (CCE-38318-2) |
Açıklama: Bu ilke ayarı, Windows Uzaktan Yönetim (WinRM) istemcisinin Özet kimlik doğrulaması kullanıp kullanmayacağını yönetmenizi sağlar. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Uzaktan Yönetim (WinRM)\WinRM İstemcisi\Özet kimlik doğrulamasına izin verme Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu WindowsRemoteManagement.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (Kayıt Defteri) |
Kritik |
WinRM'nin RunAs kimlik bilgilerini depolamasını engelleme (CCE-36000-8) |
Açıklama: Bu ilke ayarı, Windows Uzaktan Yönetim (WinRM) hizmetinin herhangi bir eklenti için RunAs kimlik bilgilerinin depolanmasına izin verip vermeyeceğini yönetmenizi sağlar. Bu ilke ayarını etkinleştirirseniz, WinRM hizmeti Herhangi bir eklenti için RunAsUser veya RunAsPassword yapılandırma değerlerinin ayarlanmasına izin vermez. Bir eklenti RunAsUser ve RunAsPassword yapılandırma değerlerini zaten ayarlamışsa, RunAsPassword yapılandırma değeri bu bilgisayardaki kimlik bilgisi deposundan silinir. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, WinRM hizmeti Eklentiler için RunAsUser ve RunAsPassword yapılandırma değerlerinin ayarlanmasına izin verir ve RunAsPassword değeri güvenli bir şekilde depolanır. Bu ilke ayarını etkinleştirir ve devre dışı bırakırsanız, daha önce RunAsPassword için yapılandırılmış olan tüm değerlerin sıfırlanması gerekir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Uzaktan Yönetim (WinRM)\WinRM Service\WinRM'nin RunAs kimlik bilgilerini depolamaya izin verme Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 ve Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'WindowsRemoteManagement.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.102.2.4 |
= 1 (Kayıt Defteri) |
Kritik |
Parolaların kaydedilmesine izin verme (CCE-36223-6) |
Açıklama: Bu ilke ayarı, Terminal Hizmetleri istemcilerinin bir bilgisayara parola kaydetmesini önlemeye yardımcı olur. Not Bu ilke ayarı daha önce Devre Dışı veya Yapılandırılmadı olarak yapılandırıldıysa, Terminal Hizmetleri istemcisinin herhangi bir sunucuyla ilk bağlantısı kesildiğinde önceden kaydedilmiş parolalar silinir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Bağlan ion İstemcisi\Parolaların kaydedilmesine izin verme Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.2.2 |
= 1 (Kayıt Defteri) |
Kritik |
Çıkışta geçici klasörleri silmeyin (CCE-37946-1) |
Açıklama: Bu ilke ayarı, Uzak Masaüstü Hizmetleri'nin oturum kapatma sırasında kullanıcının oturum başına geçici klasörlerini koruyup korumayacağını belirtir. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Geçici Klasörler\Çıkışta geçici klasörleri silmeyin Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Şablonları'nda, bu ayar Çıkışta geçici klasörü silme olarak adlandırılmıştır, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.3.11.1 |
Yok veya = 1 (Kayıt Defteri) |
Uyarı |
Parola gösterme düğmesini görüntüleme (CCE-37534-5) |
Açıklama: Bu ilke ayarı, parola girişi kullanıcı deneyimlerinde parola göster düğmesinin görüntülenmesini yapılandırmanıza olanak tanır. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal İşletim sistemi: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Credential User Interface\Do not display the password reveal button Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'CredUI.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.16.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Geri bildirim bildirimlerini gösterme (AZ-WIN-00140) |
Açıklama: Bu ilke ayarı, kuruluşun cihazlarının Microsoft'tan gelen geri bildirim sorularını göstermesini engellemesine olanak tanır. Bu ilke ayarını etkinleştirirseniz, kullanıcılar artık Windows Geri Bildirim uygulaması aracılığıyla geri bildirim bildirimlerini görmez. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, kullanıcılar Windows Geri Bildirim uygulaması aracılığıyla kullanıcılardan geri bildirim isteyen bildirimler görebilir. Not: Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, kullanıcılar geri bildirim sorularının ne sıklıkta alındığını denetleyebilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Veri Toplama ve Önizleme Derlemeleri\Geri bildirim bildirimlerini gösterme Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 10 Release 1511 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'FeedbackNotifications.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.17.4 |
= 1 (Kayıt Defteri) |
Kritik |
Oturum başına geçici klasörleri kullanmayın (CCE-38180-6) |
Açıklama: Varsayılan olarak, Uzak Masaüstü Hizmetleri bir kullanıcının RD Oturumu Ana Bilgisayarı sunucusunda koruduğu her etkin oturum için RD Oturumu Ana Bilgisayarı sunucusunda ayrı bir geçici klasör oluşturur. Geçici klasör, kullanıcının profil klasörünün altındaki geçici bir klasörde RD Oturumu Ana Bilgisayarı sunucusunda oluşturulur ve "sessionid" ile adlandırılır. Bu geçici klasör, tek tek geçici dosyaları depolamak için kullanılır. Disk alanını geri kazanmak için kullanıcı oturumunu kapattığında geçici klasör silinir. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Templates\Windows Bileşenleri\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Geçici Klasörler\Oturum başına geçici klasörleri kullanmayın Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.3.11.2 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Yükseltmede yönetici hesaplarını listeleme (CCE-36512-2) |
Açıklama: Bu ilke ayarı, kullanıcı çalışan bir uygulamayı yükseltmeye çalıştığında yönetici hesaplarının görüntülenip görüntülenmeyeceğini denetler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\Enumerate Yönetici istrators İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Kimlik Bilgisi Kullanıcı Arabirimi\Yükseltmede yönetici hesaplarını listeleme Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu CredUI.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Kasaların indirilmesini engelleme (CCE-37126-0) |
Açıklama: Bu ilke ayarı, kullanıcının bir akıştan kullanıcının bilgisayarına kutu (dosya ekleri) indirmesini engeller. Bu ayar için önerilen durum: Enabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosuredownload İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\RSS Akışları\Kasaların indirilmesini engelle Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'InetRes.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar Kasaların indirilmesini kapat olarak adlandırılmıştır, ancak Windows 8.0 ve Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.66.1 |
= 1 (Kayıt Defteri) |
Uyarı |
Güvenli RPC iletişimi gerektir (CCE-37567-5) |
Açıklama: Uzak Masaüstü Oturumu Ana Bilgisayarı sunucusunun tüm istemcilerle güvenli RPC iletişimi mi gerektirdiğini yoksa güvenli olmayan iletişime mi izin verip vermeyeceğini belirtir. Yalnızca kimliği doğrulanmış ve şifrelenmiş isteklere izin vererek istemcilerle RPC iletişiminin güvenliğini güçlendirmek için bu ayarı kullanabilirsiniz. Durum Etkin olarak ayarlanırsa, Uzak Masaüstü Hizmetleri güvenli istekleri destekleyen RPC istemcilerinden gelen istekleri kabul eder ve güvenilmeyen istemcilerle güvenli olmayan iletişime izin vermez. Durum Devre Dışı olarak ayarlanırsa Uzak Masaüstü Hizmetleri her zaman tüm RPC trafiği için güvenlik isteğinde bulunur. Ancak, isteğe yanıt vermeyen RPC istemcileri için güvenli olmayan iletişime izin verilir. Durum Yapılandırılmadı olarak ayarlanırsa güvenli olmayan iletişime izin verilir. Not: RPC arabirimi Uzak Masaüstü Hizmetleri'ni yönetmek ve yapılandırmak için kullanılır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Güvenlik\Güvenli RPC iletişimi gerektir Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.3.9.2 |
= 1 (Kayıt Defteri) |
Kritik |
Ağ Düzeyinde Kimlik Doğrulaması kullanarak uzak bağlantılar için kullanıcı kimlik doğrulaması gerektirme (AZ-WIN-00149) |
Açıklama: Ağ Düzeyinde Kimlik Doğrulaması kullanarak uzak bağlantılar için kullanıcı kimlik doğrulaması gerektir Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Güvenlik\Ağ Düzeyinde Kimlik Doğrulaması kullanarak uzak bağlantılar için kullanıcı kimlik doğrulaması gerektir Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Microsoft Windows Vista Yönetici istrative Templates'da, bu ayar başlangıçta uzak bağlantılar için RDP 6.0 kullanarak kullanıcı kimlik doğrulaması gerektir olarak adlandırıldı, ancak Windows Server 2008 (R2 olmayan) Yönetici istrative Templates ile başlayarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.3.9.4 |
Yok veya = 1 (Kayıt Defteri) |
Kritik |
Çıkarılabilir sürücüleri tarama (AZ-WIN-00177) |
Açıklama: Bu ilke ayarı, tam tarama çalıştırırken USB flash sürücüler gibi çıkarılabilir sürücülerin içeriğindeki kötü amaçlı yazılımları ve istenmeyen yazılımları tarayıp taramayabileceğinizi yönetmenize olanak tanır. Bu ayarı etkinleştirirseniz, çıkarılabilir sürücüler herhangi bir tarama türü sırasında taranır. Bu ayarı devre dışı bırakırsanız veya yapılandırmazsanız, çıkarılabilir sürücüler tam tarama sırasında taranmayacak. Çıkarılabilir sürücüler hızlı tarama ve özel tarama sırasında da taranabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Templates\Windows Components\Windows Defender Virüsten Koruma\Scan\Çıkarılabilir sürücüleri tara Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu WindowsDefender.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (Kayıt Defteri) |
Kritik |
Güvenlik: Günlük dosyası en büyük boyutuna ulaştığında Olay Günlüğü davranışını denetleme (CCE-37145-0) |
Açıklama: Bu ilke ayarı, günlük dosyası boyut üst sınırına ulaştığında Olay Günlüğü davranışını denetler. Bu ilke ayarını etkinleştirirseniz ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar günlüğe yazılmaz ve kaybolur. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar eski olayların üzerine yazılır. Not: Eski olaylar "Tam olarak yedekleme günlüğü" ilke ayarına göre korunabilir veya tutulamayabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Günlük dosyası boyut üst sınırına ulaştığında Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\Security\Control Olay Günlüğü davranışı Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta Eski olayları koru olarak adlandırılmıştı, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates ile başlayarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.2.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Güvenlik: Günlük dosyası boyutunun üst sınırını belirtin (KB) (CCE-37695-4) |
Açıklama: Bu ilke ayarı, günlük dosyasının en büyük boyutunu kilobayt cinsinden belirtir. Bu ilke ayarını etkinleştirirseniz, günlük dosyası boyutu üst sınırını kilobayt artışlarıyla 1 megabayt (1024 kilobayt) ile 2 terabayt (2.147.483.647 kilobayt) arasında olacak şekilde yapılandırabilirsiniz. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, günlük dosyasının en büyük boyutu yerel olarak yapılandırılmış değere ayarlanır. Bu değer, Günlük Özellikleri iletişim kutusu kullanılarak yerel yönetici tarafından değiştirilebilir ve varsayılan olarak 20 megabayt olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: 196,608 or greater ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\Security\En büyük günlük dosyası boyutunu belirtin (KB) Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta En Fazla Günlük Boyutu (KB) olarak adlandırılmıştır, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.2.2 |
>= 196608 (Kayıt Defteri) |
Kritik |
Daha fazla analiz gerektiğinde dosya örnekleri gönderme (AZ-WIN-00126) |
Açıklama: Bu ilke ayarı, MAPS telemetrisini kabul etme ayarlandığında örnek gönderme davranışını yapılandırıyor. Olası seçenekler şunlardır: (0x0) Her zaman sor (0x1) Güvenli örnekleri otomatik olarak gönder (0x2) Hiçbir zaman gönderme (0x3) Tüm örnekleri otomatik olarak gönder Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Daha fazla analiz gerektiğinde Bilgisayar Yapılandırması\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\MAPS\Dosya örnekleri gönderme Uyumluluk Standart Eşlemeleri: |
= 1 (Kayıt Defteri) |
Uyarı |
İstemci bağlantısı şifreleme düzeyini ayarlama (CCE-36627-8) |
Açıklama: Bu ilke ayarı, uzak bağlantıyı barındırmak üzere olan bilgisayarın uzak oturum için istemci bilgisayarla arasında gönderilen tüm veriler için şifreleme düzeyini zorunlu kılıp zorlamayacağını belirtir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: High Level ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Uzak Masaüstü Hizmetleri\Uzak Masaüstü Oturumu Ana Bilgisayarı\Güvenlik\İstemci bağlantısı şifreleme düzeyini ayarlama Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'TerminalServer.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.65.3.9.5 |
Yok veya = 3 (Kayıt Defteri) |
Kritik |
Otomatik Çalıştır için varsayılan davranışı ayarlama (CCE-38217-6) |
Açıklama: Bu ilke ayarı, Otomatik Çalıştır komutları için varsayılan davranışı ayarlar. Otomatik çalıştırma komutları genellikle autorun.inf dosyalarında depolanır. Genellikle yükleme programını veya diğer yordamları başlatırlar. Windows Vista'nın öncesinde, otomatik çalıştırma komutu içeren medya eklendiğinde sistem, kullanıcı müdahalesi olmadan programı otomatik olarak yürütür. Bu, kodun kullanıcının bilgisi olmadan yürütülebileceği için önemli bir güvenlik sorunu oluşturur. Windows Vista ile başlayan varsayılan davranış, kullanıcıya otomatik çalıştırma komutunun çalıştırılıp çalıştırılmayacağını sorabilmektir. Otomatik çalıştır komutu, Otomatik Kullan iletişim kutusunda işleyici olarak gösterilir. Bu ilke ayarını etkinleştirirseniz, bir Yönetici istrator otomatik çalıştırma için varsayılan Windows Vista veya sonraki davranışını şu şekilde değiştirebilir: a) Otomatik çalıştırma komutlarını tamamen devre dışı bırakın veya b) Otomatik çalıştırma komutunu otomatik olarak yürütmenin Windows Vista öncesi davranışına geri dönün. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, Windows Vista veya sonraki sürümler kullanıcıya otomatik çalıştırma komutunun çalıştırılıp çalıştırılmayacağını sorar. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: Do not execute any autorun commands ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\AutoPlay policies\AutoRun için varsayılan davranışı ayarlama Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'AutoPlay.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.8.2 |
= 1 (Kayıt Defteri) |
Kritik |
Kurulum: Günlük dosyası en büyük boyutuna ulaştığında Olay Günlüğü davranışını denetleme (CCE-38276-2) |
Açıklama: Bu ilke ayarı, günlük dosyası boyut üst sınırına ulaştığında Olay Günlüğü davranışını denetler. Bu ilke ayarını etkinleştirirseniz ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar günlüğe yazılmaz ve kaybolur. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar eski olayların üzerine yazılır. Not: Eski olaylar "Tam olarak yedekleme günlüğü" ilke ayarına göre korunabilir veya tutulamayabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Günlük dosyası boyut üst sınırına ulaştığında Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\Setup\Control Olay Günlüğü davranışı Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta Eski olayları koru olarak adlandırılmıştı, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates ile başlayarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.3.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Kurulum: Günlük dosyası boyutunun üst sınırını belirtin (KB) (CCE-37526-1) |
Açıklama: Bu ilke ayarı, günlük dosyasının en büyük boyutunu kilobayt cinsinden belirtir. Bu ilke ayarını etkinleştirirseniz, günlük dosyası boyutu üst sınırını kilobayt artışlarıyla 1 megabayt (1024 kilobayt) ile 2 terabayt (2.147.483.647 kilobayt) arasında olacak şekilde yapılandırabilirsiniz. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, günlük dosyasının en büyük boyutu yerel olarak yapılandırılmış değere ayarlanır. Bu değer, Günlük Özellikleri iletişim kutusu kullanılarak yerel yönetici tarafından değiştirilebilir ve varsayılan olarak 20 megabayt olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: 32,768 or greater ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\Setup\En büyük günlük dosyası boyutunu belirtin (KB) Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta En Fazla Günlük Boyutu (KB) olarak adlandırılmıştır, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.3.2 |
>= 32768 (Kayıt Defteri) |
Kritik |
Sistem tarafından başlatılan yeniden başlatmadan sonra son etkileşimli kullanıcıyla otomatik olarak oturum açma (CCE-36977-7) |
Açıklama: Bu ilke ayarı, Windows Update sistemi yeniden başlattıktan sonra cihazın son etkileşimli kullanıcıda otomatik olarak oturum açıp açmayacağını denetler. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn İşletim sistemi: WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak ayarlayın Disabled: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Bileşenleri\Windows Oturum Açma Seçenekleri\Sistem tarafından başlatılan yeniden başlatmadan sonra otomatik olarak oturum açma son etkileşimli kullanıcı Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu WinLogon.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (Kayıt Defteri) |
Kritik |
Tanım güncelleştirmelerini denetlemek için aralığı belirtin (AZ-WIN-00152) |
Açıklama: Bu ilke ayarı, tanım güncelleştirmelerini denetlemek için bir aralık belirtmenize olanak tanır. Zaman değeri, güncelleştirme denetimleri arasındaki saat sayısı olarak gösterilir. Geçerli değerler 1 (saatte bir) ile 24 (günde bir) arasında değişir. Bu ayarı etkinleştirirseniz, tanım güncelleştirmeleri belirtilen aralıkta denetlenir. Bu ayarı devre dışı bırakır veya yapılandırmazsanız, tanım güncelleştirmelerinin denetlenmesi varsayılan aralıkta gerçekleşir. Anahtar Yolu: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Güncelleştirmeler\SignatureUpdateInterval İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Yönetici istrative Templates\Windows Components\Microsoft Defender Virüsten Koruma\Security Intelligence Güncelleştirmeler\Güvenlik bilgileri güncelleştirmelerini denetlemek için aralığı belirtin Uyumluluk Standart Eşlemeleri: |
8= (Kayıt Defteri) |
Kritik |
Sistem: Günlük dosyası en büyük boyutuna ulaştığında Olay Günlüğü davranışını denetleme (CCE-36160-0) |
Açıklama: Bu ilke ayarı, günlük dosyası boyut üst sınırına ulaştığında Olay Günlüğü davranışını denetler. Bu ilke ayarını etkinleştirirseniz ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar günlüğe yazılmaz ve kaybolur. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız ve günlük dosyası en büyük boyutuna ulaşırsa, yeni olaylar eski olayların üzerine yazılır. Not: Eski olaylar "Tam olarak yedekleme günlüğü" ilke ayarına göre korunabilir veya tutulamayabilir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Günlük dosyası boyut üst sınırına ulaştığında Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\System\Control Olay Günlüğü davranışı Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta Eski olayları koru olarak adlandırılmıştı, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Templates ile başlayarak yeniden adlandırıldı. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.4.1 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Sistem: Günlük dosyası boyutunun üst sınırını belirtin (KB) (CCE-36092-5) |
Açıklama: Bu ilke ayarı, günlük dosyasının en büyük boyutunu kilobayt cinsinden belirtir. Bu ilke ayarını etkinleştirirseniz, günlük dosyası boyutu üst sınırını kilobayt artışlarıyla 1 megabayt (1024 kilobayt) ile 2 terabayt (2.147.483.647 kilobayt) arasında olacak şekilde yapılandırabilirsiniz. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, günlük dosyasının en büyük boyutu yerel olarak yapılandırılmış değere ayarlanır. Bu değer, Günlük Özellikleri iletişim kutusu kullanılarak yerel yönetici tarafından değiştirilebilir ve varsayılan olarak 20 megabayt olarak ayarlanır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: 32,768 or greater ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Event Log Service\System\En büyük günlük dosyası boyutunu belirtin (KB) Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'EventLog.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Not 2: Eski Microsoft Windows Yönetici istrative Templates'da bu ayar başlangıçta En Fazla Günlük Boyutu (KB) olarak adlandırılmıştır, ancak Windows 8.0 & Server 2012 (R2 olmayan) Yönetici istrative Şablonları ile başlayarak yeniden adlandırılmıştır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.27.4.2 |
>= 32768 (Kayıt Defteri) |
Kritik |
Uygulama Uyumluluk Programı Envanteri'nin veri toplaması ve bilgileri Microsoft'a göndermesi engellenmelidir. (AZ-WIN-73543) |
Açıklama: Bazı özellikler satıcıyla iletişim kurabilir, sistem bilgilerini gönderebilir veya özellik için veri veya bileşenleri indirebilir. Bu özelliğin kapatılması, hassas olabilecek bilgilerin kuruluş dışına gönderilmesini ve sistemde denetimsiz güncelleştirmelerin yapılmasını engeller. Bu ayar, Program Envanteri'nin bir sistem hakkında veri toplamasını ve bilgileri Microsoft'a göndermesini engeller. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\Yönetici istrative Templates\Windows Components\Application Compatibility\Off Inventory Collector Uyumluluk Standart Eşlemeleri: |
= 1 (Kayıt Defteri) |
Bilgi |
Otomatik Yürütmeyi kapat (CCE-36875-3) |
Açıklama: Sürücüye medya ekler eklemez otomatik yürütme bir sürücüden okumaya başlar ve bu da programlar veya ses medyası için kurulum dosyasının hemen başlatılmasına neden olur. Saldırgan bu özelliği kullanarak bilgisayara veya bilgisayardaki verilere zarar vermek üzere bir program başlatabilir. Otomatik Yürütme özelliğini devre dışı bırakmak için Otomatik Yürütmeyi Kapat ayarını etkinleştirebilirsiniz. Otomatik yürütme, disket ve ağ sürücüleri gibi bazı çıkarılabilir sürücü türlerinde varsayılan olarak devre dışı bırakılır ancak CD-ROM sürücülerinde devre dışı bırakılır. Not Bu ilke ayarını, disket ve ağ sürücüleri gibi varsayılan olarak devre dışı bırakıldığı bilgisayar sürücülerinde Otomatik Kullan'ı etkinleştirmek için kullanamazsınız. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled: All drives ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\AutoPlay İlkeleri\Otomatik Yürütmeyi Kapat Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümleriyle birlikte gelen 'AutoPlay.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.8.3 |
= 255 (Kayıt Defteri) |
Kritik |
Gezgin için Veri Yürütme Engellemeyi kapatma (CCE-37809-1) |
Açıklama: Veri yürütme engellemesini devre dışı bırakmak, bazı eski eklenti uygulamalarının Explorer'ı sonlandırmadan çalışmasına izin verebilir. Bu ayar için önerilen durum: Disabled . Not: Bazı eski eklenti uygulamaları ve diğer yazılımlar Veri Yürütme Engelleme ile çalışmayabilir ve bu eklenti/yazılım için bir özel durumun tanımlanmasını gerektirir.Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention İşletim sistemi: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Dosya Gezgini\Explorer için Veri Yürütme Engellemesi'ni kapatma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 7 ve Server 2008 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu Explorer.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Bozulmada yığın sonlandırmayı kapatma (CCE-36660-9) |
Açıklama: Bozulmada yığın sonlandırma olmadan, eski eklenti uygulamaları Dosya Gezgini oturumu bozulduğunda çalışmaya devam edebilir. Bozulmada yığın sonlandırmanın etkin olduğundan emin olunması bunu engeller. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Dosya Gezgini\Bozulma durumunda yığın sonlandırmayı kapat Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu Explorer.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
Yok veya = 0 (Kayıt Defteri) |
Kritik |
Microsoft tüketici deneyimlerini kapatma (AZ-WIN-00144) |
Açıklama: Bu ilke ayarı, tüketicilerin cihazlarından ve Microsoft hesaplarından en iyi şekilde yararlanabilir hale getirmelerine yardımcı olan deneyimleri kapatır. Bu ilke ayarını etkinleştirirseniz, kullanıcılar artık Microsoft'tan gelen kişiselleştirilmiş önerileri ve Microsoft hesaplarıyla ilgili bildirimleri görmez. Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, kullanıcılar Microsoft'tan gelen önerileri ve Microsoft hesaplarıyla ilgili bildirimleri görebilir. Not: Bu ayar yalnızca Kurumsal ve Eğitim SKU'ları için geçerlidir. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici Istrative Templates\Windows Components\Cloud Content\Microsoft tüketici deneyimlerini kapatma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 10 Release 1511 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen 'CloudContent.admx/adml' Grup İlkesi şablonu tarafından sağlanır. Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.14.2 |
Yok veya = 1 (Kayıt Defteri) |
Uyarı |
Kabuk protokolü korumalı modunu kapatma (CCE-36809-2) |
Açıklama: Bu ilke ayarı, kabuk protokolünün sahip olabileceği işlev miktarını yapılandırmanıza olanak tanır. Bu protokol uygulamalarının tam işlevselliğini kullanırken klasörleri açabilir ve dosyaları başlatabilirsiniz. Korumalı mod, bu protokolün işlevselliğini azaltarak uygulamaların yalnızca sınırlı bir klasör kümesi açmasına olanak tanır. Uygulamalar, korumalı moddayken bu protokolle dosyaları açamaz. Windows'un güvenliğini artırmak için bu protokolü korumalı modda bırakmanızı öneririz. Bu ayar için önerilen durum: Disabled .Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior İşletim sistemi: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Disabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Dosya Gezgini\Kabuk protokolü korumalı modunu kapatma Not: Bu Grup İlkesi yolu, Microsoft Windows Yönetici istrative Şablonlarının tüm sürümlerine dahil edilen Grup İlkesi şablonu WindowsExplorer.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
Davranış izlemeyi açma (AZ-WIN-00178) |
Açıklama: Bu ilke ayarı, davranış izlemeyi yapılandırmanıza olanak tanır. Bu ayarı etkinleştirir veya yapılandırmazsanız davranış izleme etkinleştirilir. Bu ayarı devre dışı bırakırsanız davranış izleme devre dışı bırakılır. Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: GP aracılığıyla önerilen yapılandırmayı oluşturmak için aşağıdaki kullanıcı arabirimi yolunu olarak Enabled ayarlayın:Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows Defender Virüsten Koruma\Gerçek Zamanlı Koruma\Davranış izlemeyi açma Not: Bu Grup İlkesi yolu varsayılan olarak mevcut olmayabilir. Microsoft Windows 8.1 & Server 2012 R2 Yönetici istrative Templates (veya daha yenisi) ile birlikte gelen Grup İlkesi şablonu WindowsDefender.admx/adml tarafından sağlanır.Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
Yok veya = 0 (Kayıt Defteri) |
Uyarı |
PowerShell Betik Bloğu Günlüğünü açma (AZ-WIN-73591) |
Açıklama: Bu ilke ayarı, Olay Günlüğü kanalına tüm PowerShell betik girişinin günlüğe kaydedilmesini Applications and Services Logs\Microsoft\Windows\PowerShell\Operational sağlar. Bu ayar için önerilen durum: Enabled . Not: Betik Bloğu Çağırma Başlatma/Durdurma Olaylarının günlüğe kaydedilmesi etkinleştirildiyse (seçenek kutusu işaretliyse), PowerShell komut, betik bloğu, işlev veya betik çağrılırken ek olayları günlüğe kaydeder veya durur. Bu seçeneğin etkinleştirilmesi, yüksek hacimli olay günlükleri oluşturur. CIS, büyük hacimli olaylar oluşturduğundan bu seçenek için bir öneride bulunmamayı kasıtlı olarak seçmiş. Bir kuruluş isteğe bağlı ayarı etkinleştirmeyi seçerse (işaretli), bu aynı zamanda karşılaştırmaya da uygundur.Anahtar Yolu: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging İşletim sistemi: WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi, Çalışma Grubu Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Yönetici istrative Templates\Windows Components\Windows PowerShell\PowerShell Betik Bloğu Günlüğünü Aç Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (Kayıt Defteri) |
Önemli |
Windows Ayarlar - Güvenlik Ayarlar
Adı (Kimlik) |
Ayrıntılar | Beklenen değer (Tür) |
Önem |
---|---|---|---|
İşlem için bellek kotaları ayarla (CCE-10849-8) |
Açıklama: Bu ilke ayarı, kullanıcının bir işlem için kullanılabilir en fazla bellek miktarını ayarlamasına olanak tanır. Bellek kotalarını ayarlama özelliği, sistem ayarlaması için yararlıdır, ancak kötüye kullanılabilir. Yanlış ellerde, hizmet reddi (DoS) saldırısı başlatmak için kullanılabilir. Bu ayar için önerilen durum: Administrators, LOCAL SERVICE, NETWORK SERVICE . Not: Web Sunucusu Rol Hizmeti ile Web Sunucusu (IIS) Rolünü barındıran bir Üye Sunucu, IIS uygulama havuzlarına bu kullanıcı hakkının verilmesine izin vermek için bu öneride özel bir özel durum gerektirir. Not 2: Microsoft SQL Server'ın yüklü olduğu bir Üye Sunucu, sql tarafından oluşturulan ek girişlerin bu kullanıcı hakkı verilmesi için bu öneride özel bir özel durum gerektirir.Anahtar Yolu: [Privilege Rights]SeIncreaseQuotaPrivilege İşletim sistemi: WS2012, WS2012R2, WS2016, WS2019, WS2022 Sunucu Türü: Etki Alanı Denetleyicisi, Etki Alanı Üyesi Grup İlkesi Yolu: Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Security Ayarlar\Yerel İlkeler\Kullanıcı Hakları Ataması\İşlem için bellek kotalarını ayarlama Uyumluluk Standart Eşlemeleri: AdPlatformuKimliği CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Yönetici istrators, Local Service, Network Service (İlke) |
Uyarı |
Dekont
Belirli Azure İlkesi konuk yapılandırma ayarlarının kullanılabilirliği Azure Kamu ve diğer ulusal bulutlarda farklılık gösterebilir.
Sonraki adımlar
Azure İlkesi ve konuk yapılandırması hakkında ek makaleler:
- Konuk yapılandırmasını Azure İlkesi.
- Mevzuat Uyumluluğuna genel bakış.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.