Standardní hodnoty zabezpečení Windows

Článek
07/03/2024

Tento článek podrobně popisuje nastavení konfigurace pro hosty Systému Windows, jak je možné použít v následujících implementacích:

[Preview]: Počítače s Windows by měly splňovat požadavky na definici konfigurace hosta Azure Policy podle standardních hodnot zabezpečení služby Azure Compute.
V Azure Security Center by se měla napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.

Další informace najdete v tématu Konfigurace počítače Azure Automanage.

Důležité

Konfigurace hosta Azure Policy se vztahuje pouze na skladovou položku Windows Serveru a skladovou položku Azure Stack. Nevztahuje se na výpočetní prostředky koncového uživatele, jako jsou SKU Windows 10 a Windows 11.

Zásady účtu – zásady hesel

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Doba trvání uzamčení účtu _{(AZ-WIN-73312)}	Popis: Toto nastavení zásad určuje dobu, po kterou musí proběhnout před odemknutím uzamčeného účtu a uživatel se může pokusit znovu přihlásit. Toto nastavení provede zadáním počtu minut, po které uzamčený účet zůstane nedostupný. Pokud je hodnota pro toto nastavení zásad nakonfigurovaná na 0, uzamčené účty zůstanou uzamčené, dokud je správce ručně odemkne. I když se může zdát, že je vhodné nakonfigurovat hodnotu tohoto nastavení zásad na vysokou hodnotu, taková konfigurace pravděpodobně zvýší počet hovorů, které helpdesk obdrží k odemknutí účtů zamknutých omylem. Uživatelé by si měli být vědomi doby, po kterou zámek zůstane na místě, aby si uvědomili, že potřebují zavolat na helpdesk pouze v případě, že mají mimořádně naléhavé potřeby znovu získat přístup ke svému počítači. Doporučený stav pro toto nastavení je: `15 or more minute(s)`. Poznámka: Nastavení zásad hesel (oddíl 1.1) a nastavení zásad uzamčení účtu (oddíl 1.2) se musí použít prostřednictvím objektu zásad skupiny výchozích zásad domény, aby se jako výchozí chování globálně projevily uživatelské účty domény . Pokud jsou tato nastavení nakonfigurovaná v jiném objektu zásad skupiny, ovlivní pouze místní uživatelské účty v počítačích, které objekt zásad skupiny obdrží. Vlastní výjimky výchozích zásad hesel a pravidel zásad uzamčení účtu pro konkrétní uživatele domény nebo skupiny se ale dají definovat pomocí objektů nastavení hesel (PSO), které jsou zcela oddělené od zásad skupiny a nejsnápadnější konfigurací pomocí Centra správy služby Active Directory. Cesta ke klíči: [Systémový přístup]LockoutDuration OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Doba trvání uzamčení účtu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 1.2.1 CIS WS2019 1.2.1	>= 15 _(Zásady)	Upozorňující

Šablona pro správu – Windows Defender

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Konfigurace detekce potenciálně nežádoucích aplikací _{(AZ-WIN-202219)}	Popis: Toto nastavení zásad řídí detekci a akci pro potenciálně nežádoucí aplikace (PUA), které jsou záludnými nežádoucími sadami aplikací nebo jejich sbalenými aplikacemi, které mohou dodávat adware nebo malware. Doporučený stav pro toto nastavení je: `Enabled: Block`. Další informace najdete na tomto odkazu: Blokování potenciálně nežádoucích aplikací pomocí Antivirová ochrana v programu Microsoft Defender \| Microsoft Docs Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Konfigurace detekce pro potenciálně nežádoucí aplikace Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15	= 1 _(Registr)	Kritické
Prohledat všechny stažené soubory a přílohy _{(AZ-WIN-202221)}	Popis: Toto nastavení zásad konfiguruje vyhledávání všech stažených souborů a příloh. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableIOAVProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana v reálném čase\Kontrolovat všechny stažené soubory a přílohy Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1	= 0 _(Registr)	Upozorňující
Vypnutí antiviru v programu Microsoft Defender _{(AZ-WIN-202220)}	Popis: Toto nastavení zásad vypne Antivirová ochrana v programu Microsoft Defender. Pokud je toto nastavení nakonfigurováno na Zakázáno, Antivirová ochrana v programu Microsoft Defender spustí a počítače zkontrolují malware a další potenciálně nežádoucí software. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Vypnout AntiVirus v programu Microsoft Defender Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16	= 0 _(Registr)	Kritické
Vypnutí ochrany v reálném čase _{(AZ-WIN-202222)}	Popis: Toto nastavení zásad konfiguruje výzvy ochrany v reálném čase ke zjištění známého malwaru. Antivirová ochrana v programu Microsoft Defender vás upozorní, když se malware nebo potenciálně nežádoucí software pokusí nainstalovat nebo spustit na vašem počítači. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableRealtimeMonitoring OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana v reálném čase\Vypnout ochranu v reálném čase Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2	= 0 _(Registr)	Upozorňující
Zapnutí kontroly e-mailů _{(AZ-WIN-202218)}	Popis: Toto nastavení zásad umožňuje konfigurovat kontrolu e-mailů. Když je povolená kontrola e-mailů, modul analyzuje poštovní schránku a poštovní soubory podle jejich konkrétního formátu, aby analyzoval poštovní schránky a přílohy. V současné době se podporuje několik formátů e-mailu, například pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Skenování\Zapnout kontrolu e-mailů Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2	= 0 _(Registr)	Upozorňující
Zapnutí kontroly skriptů _{(AZ-WIN-202223)}	Popis: Toto nastavení zásad umožňuje zapnout nebo vypnout kontrolu skriptů. Kontrola skriptů zachytí skripty a pak je zkontroluje před spuštěním v systému. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableScriptScanning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana v reálném čase\Zapnout kontrolu skriptů Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4	= 0 _(Registr)	Upozorňující

Šablony pro správu – Ovládací panely

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Povolit přizpůsobení vstupu _{(AZ-WIN-00168)}	Popis: Tato zásada umožňuje automatickou výukovou komponentu přizpůsobení vstupu, která zahrnuje řeč, rukopis a psaní. Automatické učení umožňuje shromažďování vzorů řeči a rukopisu, historie psaní, kontaktů a nedávných informací kalendáře. Vyžaduje se pro použití Cortany. Některé z těchto shromážděných informací mohou být uloženy na OneDrivu uživatele v případě rukopisu a psaní; některé z těchto informací se nahrají do Microsoftu, aby se přizpůsobila řeč. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na`Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Ovládací panely\Místní a jazykové možnosti\Povolit uživatelům povolit online služby rozpoznávání řeči Poznámka: Tato cesta zásad skupiny ve výchozím nastavení neexistuje. Poskytuje ji šablona zásad skupiny Globalization.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 10 RTM (verze 1507) (nebo novější). Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Povolit přizpůsobení vstupu, ale bylo přejmenováno na Povolit uživatelům povolit online služby rozpoznávání řeči počínaje šablonami pro správu Systému Windows 10 R1809 a Server 2019. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.1.2.2	= 0 _(Registr)	Upozorňující

Šablony pro správu – Průvodce zabezpečením MS

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Zakázání klienta SMB v1 (odebrání závislosti na lanmanWorkstation) _{(AZ-WIN-00122)}	Popis: SMBv1 je starší protokol, který používá algoritmus MD5 jako součást protokolu SMB. MD5 je známo, že je zranitelná vůči řadě útoků, jako jsou kolize a předběžné útoky a také nedodržování standardu FIPS. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService Operační systém: WS2008, WS2008R2, WS2012 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Průvodce zabezpečením MS\Konfigurace klientského ovladače SMBv1 Standardní mapování dodržování předpisů:	Neexistuje nebo = Bowser\0MRxSmb20\0NSI\0\0\0 _(Registr)	Kritické
Ověřování WDigest _{(AZ-WIN-73497)}	Popis: Pokud je povolené ověřování WDigest, Lsass.exe zachová kopii hesla uživatele ve formátu prostého textu v paměti, kde může být ohroženo krádeží. Pokud toto nastavení není nakonfigurované, ověřování WDigest je zakázané ve Windows 8.1 a v systému Windows Server 2012 R2; ve výchozím nastavení je povolen ve starších verzích Windows a Windows Serveru. Další informace o místníchúčtech Další informace o službě Microsoft Knowledge Base naleznete v `UseLogonCredential`článku 2871997: Aktualizace poradce pro zabezpečení společnosti Microsoft ke zlepšení ochrany a správy přihlašovacích údajů 13. května 2014. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential Operační systém: WS2016, WS2019 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Ověřování WDigest (zakázání může vyžadovat KB2871997) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.3.7 CIS WS2019 18.3.7	= 0 _(Registr)	Důležité

Šablony pro správu – MSS

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
MSS: (DisableIPSourceRouting IPv6) Úroveň ochrany zdrojového směrování IP adres (chrání před falšováním identity paketů) _{(AZ-WIN-202213)}	Popis: Směrování zdroje IP adres je mechanismus, který odesílateli umožňuje určit trasu PROTOKOLU IP, kterou má datagram sledovat přes síť. Doporučený stav pro toto nastavení je: `Enabled: Highest protection, source routing is completely disabled`. Cesta ke klíči: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (DisableIPSourceRouting IPv6) Úroveň ochrany zdrojového směrování ip adres (chrání před falšováním identity paketů) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.4.2 CIS WS2019 18.4.2	= 2 _(Registr)	Informační
MSS: (DisableIPSourceRouting) Úroveň ochrany zdrojového směrování IP (chrání před falšováním identity paketů) _{(AZ-WIN-202244)}	Popis: Směrování zdroje IP adres je mechanismus, který odesílateli umožňuje určit trasu PROTOKOLU IP, kterou má datagram projít sítí. Doporučujeme nakonfigurovat toto nastavení tak, aby nebylo definováno pro podniková prostředí a na nejvyšší ochranu pro prostředí s vysokým zabezpečením, aby bylo možné zcela zakázat směrování zdroje. Doporučený stav pro toto nastavení je: `Enabled: Highest protection, source routing is completely disabled`. Cesta ke klíči: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (DisableIPSourceRouting) Úroveň ochrany zdrojového směrování ip adres (chrání před falšováním identity paketů) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.4.3 CIS WS2019 18.4.3	= 2 _(Registr)	Informační
MSS: (NoNameReleaseOnDemand) Umožňuje počítači ignorovat požadavky na vydání názvu Rozhraní NetBIOS s výjimkou serverů WINS. _{(AZ-WIN-202214)}	Popis: Rozhraní NetBIOS přes PROTOKOL TCP/IP je síťový protokol, který mimo jiné poskytuje způsob, jak snadno přeložit názvy rozhraní NetBIOS zaregistrované v systémech Windows na IP adresy nakonfigurované v těchto systémech. Toto nastavení určuje, jestli počítač vydá název rozhraní NetBIOS, když obdrží požadavek na vydání verze. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (NoNameReleaseOnDemand) Umožňuje počítači ignorovat požadavky na vydání názvu NetBIOS s výjimkou serverů WINS. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.4.6 CIS WS2019 18.4.6	= 1 _(Registr)	Informační
MSS: (SafeDllSearchMode) Povolení režimu bezpečného vyhledávání DLL (doporučeno) _{(AZ-WIN-202215)}	Popis: Pořadí hledání knihovny DLL lze nakonfigurovat tak, aby hledaly knihovny DLL, které jsou požadovány spuštěním procesů jedním ze dvou způsobů: - Složky vyhledávání zadané v systémové cestě nejprve a pak prohledávat aktuální pracovní složku. - Nejprve vyhledejte aktuální pracovní složku a pak vyhledejte složky zadané v systémové cestě. Pokud je tato možnost povolená, hodnota registru je nastavená na hodnotu 1. Při nastavení 1 systém nejprve prohledá složky zadané v systémové cestě a pak prohledá aktuální pracovní složku. Pokud je zakázaná hodnota registru nastavena na hodnotu 0 a systém nejprve prohledá aktuální pracovní složku a pak prohledá složky zadané v systémové cestě. Aplikace budou nejprve nuceny hledat knihovny DLL v systémové cestě. U aplikací, které vyžadují jedinečné verze těchto knihoven DLL, které jsou součástí aplikace, by tato položka mohla způsobit problémy s výkonem nebo stabilitou. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Další informace o tom, jak funguje režim bezpečného vyhledávání DLL, je k dispozici na tomto odkazu: Pořadí hledání knihovny Dynamic-Link - Aplikace systému Windows \| Microsoft Docs Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (SafeDllSearchMode) Povolit režim bezpečného vyhledávání DLL (doporučeno) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.4.8 CIS WS2019 18.4.8	= 1 _(Registr)	Upozorňující
MSS: (WarningLevel) Procentuální prahová hodnota pro protokol událostí zabezpečení, ve kterém systém vygeneruje upozornění _{(AZ-WIN-202212)}	Popis: Toto nastavení může vygenerovat audit zabezpečení v protokolu událostí zabezpečení, když protokol dosáhne prahové hodnoty definované uživatelem. Doporučený stav pro toto nastavení je: `Enabled: 90% or less`. Poznámka: Pokud jsou nastavení protokolu nakonfigurována tak, aby přepsala události podle potřeby nebo přepsat události starší než x dní, tato událost se nevygeneruje. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (WarningLevel) Procentuální prahová hodnota pro protokol událostí zabezpečení, ve kterém systém vygeneruje upozornění Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.4.12 CIS WS2019 18.4.12	<= 90 _(Registr)	Informační
Systém Windows Server musí být nakonfigurovaný tak, aby zabránil přesměrování protokolu ICMP (Internet Control Message Protocol) v přepsání tras generovaných protokolem OSPF (Open Shortest Path First). _{(AZ-WIN-73503)}	Popis: Přesměrování protokolu ICMP (Internet Control Message Protocol) způsobí, že zásobník IPv4 přepíná na trasy hostitele. Tyto trasy přepisují generované trasy Open Shortest Path First (OSPF). Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (EnableICMPRedirect) Povolit přesměrování PROTOKOLU ICMP k přepsání generovaných tras OSPF Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.4.4 CIS WS2019 18.4.4	= 0 _(Registr)	Informační

Šablony pro správu – síť

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Povolení nezabezpečených přihlášení hostů _{(AZ-WIN-00171)}	Popis: Toto nastavení zásad určuje, jestli klient SMB povolí nezabezpečené přihlášení hosta k serveru SMB. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth Operační systém: WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu etwork\Lanman Workstation\Enable insecure guest logons Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona zásad skupiny LanmanWorkstation.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 10 Release 1511 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1	= 0 _(Registr)	Kritické
Posílené cesty UNC – NETLOGON _{(AZ_WIN_202250)}	Popis: Toto nastavení zásad konfiguruje zabezpečený přístup k cestám UNC. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\NETLOGON OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ* serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Šablony pro správu\Síť\Poskytovatel sítě\Posílené cesty UNC Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _(Registr)	Upozorňující
Posílené cesty UNC – SYSVOL _{(AZ_WIN_202251)}	Popis: Toto nastavení zásad konfiguruje zabezpečený přístup k cestám UNC. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\SYSVOL OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ* serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Šablony pro správu\Síť\Poskytovatel sítě\Posílené cesty UNC Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _(Registr)	Upozorňující
Minimalizace počtu souběžných připojení k internetu nebo doméně Windows _{(CCE-38338-0)}	Popis: Toto nastavení zásad brání počítačům v připojení k síti založené na doméně i k síti bez domény současně. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: 3 = Prevent Wi-Fi when on Ethernet`: Konfigurace počítače\Zásady\Šablony pro správu etwork\Windows Správce připojení\Minimalizovat počet souběžných připojení k internetu nebo doméně Systému Windows Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny WCM.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2). Aktualizoval se pomocí nového dílčího nastavení Minimalizovat možnosti zásad od šablon pro správu ve Windows 10 Release 1903. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.5.21.1	Neexistuje nebo = 1 _(Registr)	Upozorňující
Zakázání instalace a konfigurace síťového mostu v síti domény DNS _{(CCE-38002-2)}	Popis: Pomocí tohoto postupu můžete řídit schopnost uživatele instalovat a konfigurovat síťový most. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Síťová připojení\NC_AllowNetBridge_NLA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Síť\Síťová připojení\Zakázat instalaci a konfiguraci síťového mostu v síti domény DNS Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `NetworkConnections.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2	= 0 _(Registr)	Upozorňující
Zakázání používání sdílení připojení k internetu v síti domény DNS _{(AZ-WIN-00172)}	Popis: I když se toto "starší" nastavení tradičně používá pro použití sdílení připojení k internetu (ICS) ve Windows 2000, Windows XP & Server 2003, toto nastavení se nyní nově nově vztahuje na funkci Mobilní hotspot ve Windows 10 & Server 2016. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Síťová připojení\NC_ShowSharedAccessUI OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu etwork etwork Connections\Prohibit use of Internet Connection Sharing on your DNS domain network Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny NetworkConnections.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.5.11.3	= 0 _(Registr)	Upozorňující
Vypnutí překladu názvů vícesměrového vysílání _{(AZ-WIN-00145)}	Popis: LLMNR je sekundární protokol překladu ip adres. S LLMNR se dotazy odesílají pomocí vícesměrového vysílání přes propojení místní sítě v jedné podsíti z klientského počítače do jiného klientského počítače ve stejné podsíti, která má také povolenou funkci LLMNR. LLMNR nevyžaduje konfiguraci serveru DNS nebo klienta DNS a poskytuje překlad názvů ve scénářích, ve kterých není možné konvenční překlad názvů DNS. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\DNSClient\EnableMulticast Operační systém: WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu etwork\DNS Client\Turn off multicast name resolution Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny DnsClient.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.5.4.2	= 0 _(Registr)	Upozorňující

Šablony pro správu – Průvodce zabezpečením

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Povolení ochrany proti přepsání strukturovaného zpracování výjimek (SEHOP) _{(AZ-WIN-202210)}	Popis: Systém Windows obsahuje podporu pro ochranu proti přepsání strukturovaného zpracování výjimek (SEHOP). Doporučujeme povolit tuto funkci, aby se zlepšil profil zabezpečení počítače. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Povolení ochrany proti přepsání strukturovaného zpracování výjimek (SEHOP) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.3.4 CIS WS2019 18.3.4	= 0 _(Registr)	Kritické
Konfigurace NetBT NodeType _{(AZ-WIN-202211)}	Popis: Toto nastavení určuje, která metoda NetBIOS přes PROTOKOL TCP/IP (NetBT) používá k registraci a překladu názvů. Dostupné metody jsou: – Metoda B-node (všesměrové vysílání) používá pouze všesměrové vysílání. – Metoda P-node (point-to-point) používá pouze názvové dotazy na názvový server (WINS). – Nejprve se vysílala metoda M-node (smíšený) a potom se dotazuje názvového serveru (WINS), pokud se vysílání nezdařilo. – H-node (hybridní) metoda nejprve dotazuje názvový server (WINS), pak se vysílaje, pokud dotaz selhal. Doporučený stav pro toto nastavení je: `Enabled: P-node (recommended)` (point-to-point). Poznámka: Překlad prostřednictvím LMHOSTS nebo DNS se řídí těmito metodami. `NodeType` Pokud existuje hodnota registru, přepíše všechny `DhcpNodeType` hodnoty registru. `NodeType` `DhcpNodeType` Pokud ani není k dispozici, počítač použije B-node (všesměrové vysílání), pokud pro síť nejsou nakonfigurované žádné servery WINS, nebo H-node (hybridní), pokud je nakonfigurovaný alespoň jeden server WINS. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Konfigurace NetBT NodeType Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.3.6 CIS WS2019 18.3.6	= 2 _(Registr)	Upozorňující

Šablony pro správu – systém

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Blokování zobrazování podrobností o účtu při přihlášení _{(AZ-WIN-00138)}	Popis: Tato zásada brání uživateli v zobrazení podrobností účtu (e-mailová adresa nebo uživatelské jméno) na přihlašovací obrazovce. Pokud toto nastavení zásad povolíte, uživatel se nemůže rozhodnout zobrazit podrobnosti účtu na přihlašovací obrazovce. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, uživatel se může rozhodnout zobrazit podrobnosti účtu na přihlašovací obrazovce. Cesta ke klíči: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Blokovat zobrazení podrobností o účtu při přihlášení Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny Logon.admx/adml, která je součástí microsoft Windows 10 Release 1607 & Server 2016 Šablony pro správu (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.28.1	= 1 _(Registr)	Upozorňující
Zásady inicializace ovladačů spouštění _{(CCE-37912-3)}	Popis: Toto nastavení zásad umožňuje určit, které ovladače spouštění jsou inicializovány na základě klasifikace určené ovladačem spuštění antimalwarového spuštění systému Early Launch. Ovladač spuštění antimalwarového spuštění systému Early Launch může vrátit následující klasifikace pro každý spouštěcí ovladač: - Dobré: Ovladač byl podepsán a nebyl manipulován. - Chybný: Ovladač byl identifikován jako malware. Doporučujeme nepovolit inicializaci známých chybných ovladačů. - Špatná, ale požadovaná pro spuštění: Ovladač byl identifikován jako malware, ale počítač nelze úspěšně spustit bez načtení tohoto ovladače. - Neznámý: Tento ovladač nebyl potvrzen vaší aplikací pro detekci malwaru a nebyl klasifikován ovladačem Early Launch Antimalware boot-start. Pokud povolíte toto nastavení zásad, budete moct zvolit, které spouštěcí ovladače se mají inicializovat při příštím spuštění počítače. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, spouštěcí ovladače se určí jako Dobré, Neznámé nebo Chybné, ale inicializace ovladačů, které jsou určené jako Chybná, se přeskočí. Pokud vaše aplikace pro detekci malwaru neobsahuje ovladač spuštění antimalwarového spuštění systému Early Launch nebo pokud je váš ovladač early Launch Antimalware boot-start zakázán, toto nastavení nemá žádný vliv a všechny ovladače spouštění jsou inicializovány. Cesta ke klíči: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled:` `Good, unknown and bad but critical`: Konfigurace počítače\Zásady\Šablony pro správu\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou Zásad skupiny EarlyLaunchAM.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.14.1	Neexistuje nebo = 3 _(Registr)	Upozorňující
Konfigurace vzdálené pomoci nabídky _{(CCE-36388-7)}	Popis: Toto nastavení zásad umožňuje zapnout nebo vypnout nabídku (nevyžádanou) vzdálenou pomoc na tomto počítači. Pracovníci helpdesku a podpory nebudou moct proaktivně nabídnout pomoc, i když můžou dál reagovat na žádosti o pomoc uživatelů. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vzdálená pomoc\Konfigurace nabídky Vzdálená pomoc Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou `RemoteAssistance.admx/adml` Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1	Neexistuje nebo = 0 _(Registr)	Upozorňující
Konfigurace vyžádané vzdálené pomoci _{(CCE-37281-3)}	Popis: Toto nastavení zásad umožňuje zapnout nebo vypnout na tomto počítači vzdálenou pomoc (Požádat o pomoc). Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vzdálená pomoc\Konfigurace vyžádané vzdálené pomoci Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou `RemoteAssistance.admx/adml` Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2	= 0 _(Registr)	Kritické
Nezobrazovat uživatelské rozhraní pro výběr sítě _{(CCE-38353-9)}	Popis: Toto nastavení zásad umožňuje řídit, jestli kdokoli může pracovat s dostupným uživatelským rozhraním sítí na přihlašovací obrazovce. Pokud povolíte toto nastavení zásad, stav síťového připojení počítače se nedá změnit bez přihlášení k Windows. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, každý uživatel může počítač odpojit od sítě nebo může počítač připojit k jiným dostupným sítím bez přihlášení k Windows. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Nezobrazovat uživatelské rozhraní pro výběr sítě Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny Logon.admx/adml, která je součástí microsoft Windows 8.1 & Server 2012 R2 Šablony pro správu (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.28.2	= 1 _(Registr)	Upozorňující
Nevyčtujte připojené uživatele na počítačích připojených k doméně _{(AZ-WIN-202216)}	Popis: Toto nastavení zásad zabraňuje zobrazení výčtu připojených uživatelů na počítačích připojených k doméně. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Nevyčtujte připojené uživatele na počítačích připojených k doméně Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3	= 1 _(Registr)	Upozorňující
Povolení ověřování klienta mapovače koncového bodu RPC _{(CCE-37346-4)}	Popis: Toto nastavení zásad určuje, jestli se klienti RPC ověřují ve službě Endpoint Mapper, když volání, které provádí, obsahuje ověřovací informace. Služba Mapování koncového bodu na počítačích se systémem systém Windows NT 4 (všechny aktualizace Service Pack) nemůže tímto způsobem zpracovávat ověřovací informace. Pokud toto nastavení zásad zakážete, klienti RPC se nebudou ověřovat ve službě Endpoint Mapper, ale budou moct komunikovat se službou Endpoint Mapper na systém Windows NT 4 Serveru. Pokud povolíte toto nastavení zásad, klienti RPC se budou ověřovat ve službě Endpoint Mapper pro volání, která obsahují ověřovací informace. Klienti provádějící taková volání nebudou moct komunikovat se službou mapovače koncového bodu serveru systém Windows NT 4. Pokud toto nastavení zásad nenakonfigurujete, zůstane zakázané. Klienti RPC se nebudou ověřovat ve službě Mapper koncového bodu, ale budou moct komunikovat se službou mapovače koncového bodu serveru systém Windows NT 4. Poznámka: Tato zásada se nepoužije, dokud se systém nerestartuje. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Rpc\EnableAuthEpResolution OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vzdálené volání procedur\Povolení ověřování klienta mapovače koncových bodů RPC Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona zásad skupiny RPC.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.37.1	= 1 _(Registr)	Kritické
Povolení klienta systém Windows NT P _{(CCE-37843-0)}	Popis: Toto nastavení zásady určuje, jestli je povolený klient systém Windows NT P. Povolení klienta systém Windows NT P umožňuje počítači synchronizovat hodiny počítače s jinými servery NTP. Tuto službu můžete chtít zakázat, pokud se rozhodnete použít jiného poskytovatele času. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\System\Windows Time Service\Time Providers\Enable systém Windows NT P Client Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny W32Time.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.53.1.1	= 1 _(Registr)	Kritické
Šifrování Oracle Náprava pro protokol CredSSP _{(AZ-WIN-201910)}	Popis: Některé verze protokolu CredSSP používaného některými aplikacemi (například připojením ke vzdálené ploše) jsou ohroženy útokem oracle šifrování proti klientovi. Tato zásada řídí kompatibilitu s ohroženými klienty a servery a umožňuje nastavit požadovanou úroveň ochrany pro ohrožení zabezpečení šifrování oracle. Doporučený stav pro toto nastavení je: `Enabled: Force Updated Clients`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle Operační systém: WS2016, WS2019 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Delegování přihlašovacích údajů\Náprava Oracle šifrování Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1	= 0 _(Registr)	Kritické
Ujistěte se, že je při pravidelném zpracování na pozadí nastavená možnost Konfigurovat zpracování zásad registru: Nepoužádejte se na hodnotu Povoleno: NEPRAVDA. _{(CCE-36169-1)}	Popis: Možnost "Nepoužívat během pravidelného zpracování na pozadí" brání systému v aktualizaci ovlivněných zásad na pozadí, když se počítač používá. Pokud jsou aktualizace na pozadí zakázané, změny zásad se projeví až po příštím přihlášení uživatele nebo restartování systému. Doporučený stav pro toto nastavení je: `Enabled: FALSE` (nezaškrtnuto). Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Zásady skupiny{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`hodnotu a pak nastavte `Process even if the Group Policy objects have not changed` možnost `TRUE` (zaškrtnuto): Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Konfigurace zpracování zásad registru Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou `GroupPolicy.admx/adml` Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2	= 0 _(Registr)	Kritické
Ujistěte se, že konfigurace zpracování zásad registru: Proces i v případě, že se objekty zásad skupiny nezměnily, nastaveny na Povoleno: PRAVDA. _{(CCE-36169-1a)}	Popis: Možnost Zpracovat i v případě, že se objekty zásad skupiny nezměnily, aktualizuje a znovu zobrazí zásady, i když se zásady nezměnily. Doporučený stav pro toto nastavení je: `Enabled: TRUE` (zaškrtnuto). Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Zásady skupiny{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`hodnotu , a pak nastavte možnost Proces, i když se objekty zásad skupiny nezměnily na hodnotu TRUE (zaškrtnuto): Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Konfigurace zpracování zásad registru Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny GroupPolicy.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.21.3	= 0 _(Registr)	Kritické
Ujistěte se, že je možnost Pokračovat v tomto zařízení nastavená na Zakázáno. _{(AZ-WIN-00170)}	Popis: Toto nastavení zásad určuje, jestli se zařízení s Windows může účastnit prostředí mezi zařízeními (pokračovat v prostředí). Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Pokračovat v prostředí na tomto zařízení Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablona zásad skupiny GroupPolicy.admx/adml, která je součástí microsoft Windows 10 Release 1607 & Server 2016 Šablony pro správu (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.21.4	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zobrazení výčtu místních uživatelů na počítačích připojených k doméně _{(AZ_WIN_202204)}	Popis: Toto nastavení zásad umožňuje místním uživatelům vytvořit výčet na počítačích připojených k doméně. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Logon\Výčet místních uživatelů na počítačích připojených k doméně Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zahrnutí příkazového řádku do událostí vytváření procesů _{(CCE-36925-6)}	Popis: Toto nastavení zásad určuje, jaké informace se protokolují v událostech auditu zabezpečení při vytvoření nového procesu. Toto nastavení platí jenom v případě, že je povolená zásada vytváření procesů auditu. Pokud tuto zásadu povolíte, budou informace příkazového řádku pro každý proces protokolovány ve formátu prostého textu v protokolu událostí zabezpečení jako součást události vytváření procesu auditování 4688, "byl vytvořen nový proces" na pracovních stanicích a serverech, na kterých je toto nastavení zásad použito. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nebudou informace příkazového řádku procesu zahrnuty do událostí vytváření procesu auditování. Výchozí: Nenakonfigurováno: Pokud je toto nastavení zásad povolené, bude moct každý uživatel s přístupem ke čtení událostí zabezpečení přečíst argumenty příkazového řádku pro jakýkoli úspěšně vytvořený proces. Argumenty příkazového řádku můžou obsahovat citlivé nebo soukromé informace, jako jsou hesla nebo uživatelská data. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vytvoření procesu auditování\Zahrnout příkazový řádek do událostí vytváření procesů Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablona zásad skupiny AuditSettings.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.3.1	= 1 _(Registr)	Kritické
Zabránění načítání metadat zařízení z internetu _{(AZ-WIN-202251)}	Popis: Toto nastavení zásad umožňuje zabránit systému Windows v načítání metadat zařízení z internetu. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Tím nezabráníte instalaci základních hardwarových ovladačů, ale zabráníte tomu, aby se přidružený software nástroje třetích stran automaticky instaloval v kontextu `SYSTEM` účtu. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Instalace zařízení\Zabránit načítání metadat zařízení z internetu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2	= 1 _(Registr)	Informační
Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů. _{(AZ-WIN-20199)}	Popis: Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů. Při použití delegování přihlašovacích údajů zařízení poskytují vzdálenému hostiteli exportovatelnou verzi přihlašovacích údajů. To zpřístupňuje uživatelům riziko krádeže přihlašovacích údajů útočníkům na vzdáleném hostiteli. Funkce Restricted Admin Mode a Windows Defender Remote Credential Guard jsou dvě možnosti, které pomáhají chránit před tímto rizikem. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Podrobnější informace o vzdálené ochraně credential Guard v programu Windows Defender a jeho porovnání s režimem omezené správy najdete na tomto odkazu: Ochrana přihlašovacích údajů vzdálené plochy pomocí vzdálené ochrany přihlašovacích údajů v programu Windows Defender (Windows 10) \| Microsoft Docs Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds Operační systém: WS2016, WS2019 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Delegování přihlašovacích údajů\Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2	= 1 _(Registr)	Kritické
Vypnutí oznámení aplikací na zamykací obrazovce _{(CCE-35893-7)}	Popis: Toto nastavení zásad umožňuje zabránit zobrazování oznámení aplikací na zamykací obrazovce. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Vypnout oznámení aplikací na zamykací obrazovce Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny Logon.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.28.5	= 1 _(Registr)	Upozorňující
Vypnutí aktualizace zásad skupiny na pozadí _{(CCE-14437-8)}	Popis: Toto nastavení zásad zabraňuje aktualizaci zásad skupiny v době, kdy se počítač používá. Toto nastavení zásad platí pro zásady skupiny pro počítače, uživatele a řadiče domény. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Vypnout aktualizaci zásad skupiny na pozadí Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5	= 0 _(Registr)	Upozorňující
Vypnutí stahování ovladačů tisku přes HTTP _{(CCE-36625-2)}	Popis: Toto nastavení zásad určuje, zda může počítač stahovat balíčky ovladačů tisku přes protokol HTTP. Chcete-li nastavit tisk HTTP, je možné, že ovladače tiskárny, které nejsou k dispozici ve standardní instalaci operačního systému, muset stáhnout přes protokol HTTP. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Printers\DisableWebPnPDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Správa internetové komunikace\Nastavení internetové komunikace\Vypnutí stahování ovladačů tisku přes HTTP Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny ICM.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.22.1.1	= 1 _(Registr)	Upozorňující
Pokud připojení URL odkazuje na Microsoft.com, vypněte Průvodce připojením k internetu. _{(CCE-37163-3)}	Popis: Toto nastavení zásad určuje, jestli se Průvodce připojením k internetu může připojit k Microsoftu a stáhnout seznam poskytovatelů internetových služeb (ISP). Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Průvodce připojením k internetu\ExitOnMSICW OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Správa internetové komunikace\Nastavení internetové komunikace\Vypnout Průvodce připojením k internetu, pokud připojení URL odkazuje na Microsoft.com Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny ICM.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.22.1.4	= 1 _(Registr)	Upozorňující
Zapnutí usnadnění přihlašování pomocí PIN kódu _{(CCE-37528-7)}	Popis: Toto nastavení zásad umožňuje řídit, jestli se uživatel domény může přihlásit pomocí pohodlného KÓDU PIN. Ve Windows 10 byl kód PIN pro pohodlí nahrazen Passportem, který má silnější vlastnosti zabezpečení. Pokud chcete nakonfigurovat Passport pro uživatele domény, použijte zásady v části Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Microsoft Passport for Work. Poznámka: Heslo domény uživatele se při použití této funkce uloží do mezipaměti v trezoru systému. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Zapnout usnadnění přihlašování pomocí PIN kódu Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou `CredentialProviders.admx/adml` Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).Poznámka 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zapnout přihlášení pomocí kódu PIN, ale bylo přejmenováno počínaje šablonami pro správu windows 10 release 1511. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7	Neexistuje nebo = 0 _(Registr)	Upozorňující

Šablony pro správu – součást systému Windows

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Vypnutí obsahu stavu účtu příjemce cloudu _{(AZ-WIN-202217)}	Popis: Toto nastavení zásad určuje, jestli je ve všech prostředích s Windows povolený obsah stavu účtu příjemce cloudu. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Cloud Content\Vypnout obsah stavu účtu příjemce cloudu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1	= 1 _(Registr)	Upozorňující

Šablony pro správu – Součásti systému Windows

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Nepovolit přesměrování jednotky _{(AZ-WIN-73569)}	Popis: Toto nastavení zásad brání uživatelům ve sdílení místních jednotek na klientských počítačích se servery vzdálené plochy, ke kterým přistupují. Mapované jednotky se zobrazují ve stromu složek relace v Průzkumníku Windows v následujícím formátu: `\\TSClient\<driveletter>$` Pokud jsou místní jednotky sdíleny, jsou ohroženy útočníky, kteří chtějí zneužít data uložená na nich. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fDisableCdm OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Přesměrování zařízení a prostředků\Nepovolit přesměrování jednotky Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2	= 1 _(Registr)	Upozorňující
Zapnutí přepisu PowerShellu _{(AZ-WIN-202208)}	Popis: Toto nastavení zásad umožňuje zachytit vstup a výstup příkazů Windows PowerShellu do textových přepisů. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Přepis\EnableTranscripting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Windows PowerShell\Zapnutí přepisu PowerShellu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2	= 0 _(Registr)	Upozorňující

Šablony pro správu – Zabezpečení Windows

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Zabránit uživatelům v úpravě nastavení _{(AZ-WIN-202209)}	Popis: Toto nastavení zásad brání uživatelům v provádění změn v oblasti nastavení ochrany Exploit v nastavení Zabezpečení Windows. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Ochrana aplikací a prohlížečů\DisallowExploitProtectionOverride OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zabezpečení Windows\Ochrana aplikací a prohlížečů\Zabránit uživatelům v úpravách nastavení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1	= 1 _(Registr)	Upozorňující

Šablona pro správu – Windows Defender

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Konfigurace pravidel redukce prostoru pro útoky _{(AZ_WIN_202205)}	Popis: Toto nastavení zásad řídí stav pravidel asR (Attack Surface Reduction). Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana Exploit Guard v programu Microsoft Defender\Omezení prostoru útoku\Konfigurace pravidel snížení počtu možností útoku Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1	= 1 _(Registr)	Upozorňující
Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům _{(AZ_WIN_202207)}	Popis: Toto nastavení zásad řídí Ochrana Exploit Guard v programu Microsoft Defender ochranu sítě. Doporučený stav pro toto nastavení je: `Enabled: Block`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana Exploit Guard v programu Microsoft Defender\Ochrana sítě\Zabránění uživatelům a aplikacím v přístupu k nebezpečným weby Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1	= 1 _(Registr)	Upozorňující

Auditovat správu účtů počítače

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat správu účtů počítače _{(CCE-38004-8)}	Popis: Tato podkategorie hlásí každou událost správy účtů počítače, například při vytvoření, změně, odstranění, přejmenování, zakázání nebo povolení. Události pro tuto podkategorii zahrnují: - 4741: Byl vytvořen účet počítače. - 4742: Účet počítače byl změněn. - 4743: Účet počítače byl odstraněn. Doporučeným stavem tohoto nastavení je: `Success`. Cesta klíče: {0CCE9236-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Správa účtů účtu auditování počítače Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.2.2 CIS WS2019 17.2.2	= Úspěch _(Audit)	Kritické

Zabezpečené jádro

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Povolení ochrany DMA při spouštění _{(AZ-WIN-202250)}	Popis: Servery podporující zabezpečené jádro podporují systémový firmware, který zajišťuje ochranu proti škodlivým a nezamýšleným útokům s přímým přístupem do paměti (DMA) pro všechna zařízení podporující DMA během procesu spouštění. Cesta ke klíči: BootDMAProtection OSEx: WSASHCI22H2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: NA Standardní mapování dodržování předpisů:	= 1 _(OsConfig)	Kritické
Povolení integrity kódu vynucené hypervisorem _{(AZ-WIN-202246)}	Popis: HVCI a VBS zlepšují model hrozeb systému Windows a poskytují silnější ochranu před malwarem, který se snaží zneužít jádro Systému Windows. HVCI je kritická komponenta, která chrání a chrání izolované virtuální prostředí vytvořené službou VBS spuštěním integrity kódu režimu jádra a omezením přidělení paměti jádra, která by mohla být použita k ohrožení systému. Klíčová cesta: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: NA Standardní mapování dodržování předpisů:	= 0 _(OsConfig)	Kritické
Povolení zabezpečeného spouštění _{(AZ-WIN-202248)}	Popis: Zabezpečené spouštění je standard zabezpečení vyvinutý členy počítačového průmyslu, aby bylo zajištěno, že zařízení spouští pouze software, který je důvěryhodný výrobcem OEM (Original Equipment Manufacturer). Cesta ke klíči: SecureBootState OSEx: WSASHCI22H2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: NA Standardní mapování dodržování předpisů:	= 1 _(OsConfig)	Kritické
Povolení ochrany systému _{(AZ-WIN-202247)}	Popis: Použití podpory procesoru pro technologii DRTM (Dynamic Root of Trust of Measurement) Ochrana System Guard umístit firmware do hardwarového sandboxu, který pomáhá omezit dopad ohrožení zabezpečení v milionech řádků vysoce privilegovaného kódu firmwaru. Cesta ke klíči: SystemGuardStatus OSEx: WSASHCI22H2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: NA Standardní mapování dodržování předpisů:	= 0 _(OsConfig)	Kritické
Povolení zabezpečení na základě virtualizace _{(AZ-WIN-202245)}	Popis: Zabezpečení na základě virtualizace nebo VBS používá funkce virtualizace hardwaru k vytvoření a izolaci zabezpečené oblasti paměti od normálního operačního systému. To pomáhá zajistit, aby servery zůstaly věnované spouštění kritických úloh a chránily související aplikace a data před útoky a exfiltrací. Služba VBS je ve výchozím nastavení povolená a uzamčená ve službě Azure Stack HCI. Cesta ke klíči: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: NA Standardní mapování dodržování předpisů:	= 0 _(OsConfig)	Kritické
Nastavení verze TPM _{(AZ-WIN-202249)}	Popis: Technologie TPM (Trusted Platform Module) je navržená tak, aby poskytovala hardwarové funkce související se zabezpečením. Čip TPM2.0 se vyžaduje pro zabezpečené základní funkce. Cesta ke klíči: TPMVersion OSEx: WSASHCI22H2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: NA Standardní mapování dodržování předpisů:	Obsahuje hodnotu 2.0. _(OsConfig)	Kritické

Možnosti zabezpečení – Účty

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Účty: Blokovat účty Microsoft _{(AZ-WIN-202201)}	Popis: Toto nastavení zásad brání uživatelům v přidávání nových účtů Microsoft do tohoto počítače. Doporučený stav pro toto nastavení je: `Users can't add or log on with Microsoft accounts`. Cesta ke klíči: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Blokovat účty Microsoft Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2	= 3 _(Registr)	Upozorňující
Účty: Stav účtu hosta _{(CCE-37432-2)}	Popis: Toto nastavení zásad určuje, jestli je účet hosta povolený nebo zakázaný. Účet Host umožňuje neověřeným uživatelům sítě získat přístup k systému. Doporučený stav pro toto nastavení je: `Disabled`. Poznámka: Toto nastavení nebude mít žádný vliv při použití na organizační jednotku řadiče domény prostřednictvím zásad skupiny, protože řadiče domény nemají žádnou databázi místního účtu. Dá se nakonfigurovat na úrovni domény prostřednictvím zásad skupiny, podobně jako nastavení uzamčení účtu a zásad hesel. Cesta ke klíči: [Systémový přístup]EnableGuestAccount OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Stav účtu hosta Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3	= 0 _(Zásady)	Kritické
Účty: Omezit použití prázdného hesla místního účtu pouze pro přihlášení ke konzole _{(CCE-37615-2)}	Popis: Toto nastavení zásad určuje, jestli se místní účty, které nejsou chráněné heslem, dají použít k přihlášení z jiných umístění než z konzoly fyzického počítače. Pokud povolíte toto nastavení zásad, místní účty s prázdnými hesly se nebudou moct přihlásit k síti ze vzdálených klientských počítačů. Tyto účty se budou moct přihlásit jenom na klávesnici počítače. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Omezení používání prázdných hesel pouze pro přihlášení ke konzole Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4	Neexistuje nebo = 1 _(Registr)	Kritické
Účty: Přejmenovat účet hosta _{(AZ-WIN-202255)}	Popis: Předdefinovaný místní účet hosta je dalším známým názvem útočníků. Doporučujeme tento účet přejmenovat na něco, co neuvádí jeho účel. I když tento účet zakážete, což se doporučuje, ujistěte se, že ho přejmenujete pro lepší zabezpečení. Na řadičích domény, protože nemají vlastní místní účty, toto pravidlo odkazuje na předdefinovaný účet hosta, který byl vytvořen při prvním vytvoření domény. Cesta ke klíči: [Systémový přístup]NewGuestName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Přejmenování účtu hosta Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6	!= Host _(Zásady)	Upozorňující
Přístup k síti: Povolení anonymního překladu identifikátorů SID nebo názvu _{(CCE-10024-8)}	Popis: Toto nastavení zásad určuje, zda anonymní uživatel může požadovat atributy identifikátoru zabezpečení (SID) pro jiného uživatele, nebo pomocí identifikátoru SID získat odpovídající uživatelské jméno. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: [Přístup k systému]LSAAnonymousNameLookup OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Povolit anonymní překlad SID/Název Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1	= 0 _(Zásady)	Upozorňující

Možnosti zabezpečení – Audit

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Audit: Vynutit přednost nastavení podkategorie zásad auditu (Windows Vista nebo novější) před nastavením kategorie zásad auditu _{(CCE-37850-5)}	Popis: Toto nastavení zásad umožňuje správcům povolit přesnější možnosti auditování v systému Windows Vista. Nastavení zásad auditu dostupná ve službě Active Directory systému Windows Server 2003 ještě neobsahuje nastavení pro správu nových podkategorií auditování. Aby bylo možné správně použít zásady auditování předepsané v tomto směrném plánu, musí být nastavení podkategorie zásad auditu (Windows Vista nebo novější) vynuceno tak, aby se nastavení kategorií zásad auditu přepsaly na Povoleno. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Audit: Vynucení nastavení podkategorie zásad auditu (Windows Vista nebo novější) pro přepsání nastavení kategorií zásad auditu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.2.1	Neexistuje nebo = 1 _(Registr)	Kritické
Audit: Není-li možno protokolovat audity zabezpečení, vypnout okamžitě systém _{(CCE-35907-5)}	Popis: Toto nastavení zásad určuje, jestli se systém vypne, pokud nemůže protokolovat události zabezpečení. Je to požadavek na kritéria hodnocení důvěryhodného počítačového systému (TCSEC)-C2 a certifikace společných kritérií, aby se zabránilo auditovatelným událostem, pokud je systém auditu nemůže protokolovat. Společnost Microsoft se rozhodla tento požadavek splnit zastavením systému a zobrazením zprávy stop, pokud systém auditování dojde k selhání. Pokud je toto nastavení zásad povolené, systém se vypne, pokud se z nějakého důvodu nedá protokolovat audit zabezpečení. Pokud je povolená možnost Audit: Okamžitě vypněte systém, pokud není možné protokolovat nastavení auditů zabezpečení, může dojít k neplánovaným selháním systému. Administrativní zátěž může být významná, zejména pokud také nakonfigurujete metodu uchovávání pro protokol zabezpečení tak, aby nepřepisoval události (vymazat protokol ručně). Tato konfigurace způsobí, že se ohrožení zabezpečení v podobě odepření služby (doS) může operátor zálohování odepřít, že zálohovaná nebo obnovená data, protože server může být nucen vypnout, pokud je zahlcený událostmi přihlášení a dalšími událostmi zabezpečení, které se zapisují do protokolu zabezpečení. Vzhledem k tomu, že vypnutí není řádné, je také možné, že by mohlo dojít k nenapravitelnému poškození operačního systému, aplikací nebo dat. I když systém souborů NTFS zaručuje jeho integritu, když dojde k nepřístupnému vypnutí počítače, nemůže zaručit, že každý datový soubor pro každou aplikaci bude při restartování počítače stále v použitelné podobě. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Audit: Okamžitě vypněte systém, pokud nelze protokolovat audity zabezpečení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2	Neexistuje nebo = 0 _(Registr)	Kritické

Možnosti zabezpečení – Zařízení

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Zařízení: Povoleno formátování a vysunutí vyměnitelných médií _{(CCE-37701-0)}	Popis: Toto nastavení zásad určuje, kdo smí formátovat a vysunout vyměnitelné médium. Pomocí tohoto nastavení zásad můžete zabránit neoprávněným uživatelům v odebrání dat na jednom počítači, aby k nim měli přístup na jiném počítači, na kterém mají oprávnění místního správce. Cesta ke klíči: SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zařízení: Povoleno formátovat a vysunout vyměnitelné médium Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.4.1	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zařízení: Zabránit uživatelům instalovat ovladače tiskáren _{(CCE-37942-0)}	Popis: Aby se počítač vytiskl na sdílenou tiskárnu, musí být na místním počítači nainstalován ovladač pro danou sdílenou tiskárnu. Toto nastavení zabezpečení určuje, kdo může nainstalovat ovladač tiskárny jako součást připojení ke sdílené tiskárně. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Toto nastavení nemá vliv na možnost přidat místní tiskárnu. Toto nastavení nemá vliv na správce. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zařízení: Zabránit uživatelům v instalaci ovladačů tiskárny Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2	Neexistuje nebo = 1 _(Registr)	Upozorňující
Omezení instalace ovladače tisku na správce _{(AZ_WIN_202202)}	Popis: Toto nastavení zásad určuje, jestli uživatelé, kteří nejsou správci, mohou v systému instalovat ovladače tisku. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: 10. srpna 2021 společnost Microsoft oznámila změnu výchozího chování point and print, která upraví výchozí nastavení instalace a ovladače tisku a chování aktualizace tak, aby vyžadovalo oprávnění správce. Toto je popsané v tématu KB5005652 Správa chování při instalaci výchozího ovladače typu Point and Print (CVE-2021-34481). Cesta ke klíči: Software\Policies\Microsoft\systém Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Omezení instalace ovladače tisku na správce Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.3.5 CIS WS2019 18.3.5	= 1 _(Registr)	Upozorňující

Možnosti zabezpečení – člen domény

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Ujistěte se, že člen domény: Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy) je nastavená na Povoleno. _{(CCE-36142-8)}	Popis: Toto nastavení zásad určuje, jestli musí být podepsaný nebo zašifrovaný veškerý provoz zabezpečeného kanálu iniciovaný členem domény. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Digitální šifrování nebo podepisování dat zabezpečeného kanálu (vždy) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1	Neexistuje nebo = 1 _(Registr)	Kritické
Ujistěte se, že člen domény: Digitální šifrování dat zabezpečeného kanálu (pokud je to možné) je nastavené na Povoleno. _{(CCE-37130-2)}	Popis: Toto nastavení zásad určuje, jestli se člen domény má pokusit vyjednat šifrování pro veškerý provoz zabezpečeného kanálu, který zahájí. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Digitální šifrování dat zabezpečených kanálů (pokud je to možné) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2	Neexistuje nebo = 1 _(Registr)	Kritické
Ujistěte se, že člen domény: Digitálně podepsat data zabezpečeného kanálu (pokud je to možné) je nastaveno na Povoleno. _{(CCE-37222-7)}	Popis: Toto nastavení zásad určuje, jestli se člen domény má pokusit vyjednat, jestli musí být digitálně podepsán veškerý provoz zabezpečeného kanálu, který iniciuje. Digitální podpisy chrání provoz před tím, aby ho upravoval každý, kdo při procházení sítě zachytává data. Doporučený stav pro toto nastavení je: Povoleno. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Digitálně podepsat data zabezpečeného kanálu (pokud je to možné) Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3	Neexistuje nebo = 1 _(Registr)	Kritické
Ujistěte se, že je u člena domény: Zakázání změn hesla účtu počítače nastaveno na Zakázáno. _{(CCE-37508-9)}	Popis: Toto nastavení zásad určuje, jestli člen domény může pravidelně měnit heslo účtu počítače. Počítače, které nemůžou automaticky měnit hesla účtu, mohou být ohroženy, protože útočník může zjistit heslo pro účet domény systému. Doporučený stav pro toto nastavení je: Zakázáno. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Zakázání změn hesla účtu počítače Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4	Neexistuje nebo = 0 _(Registr)	Kritické
Ujistěte se, že člen domény: Maximální stáří hesla účtu počítače je nastavené na 30 nebo méně dní, ale ne na 0. _{(CCE-37431-4)}	Popis: Toto nastavení zásad určuje maximální povolený věk hesla účtu počítače. Ve výchozím nastavení členové domény automaticky mění hesla k doméně každých 30 dnů. Pokud tento interval výrazně zvýšíte tak, aby počítače přestaly měnit hesla, útočník by měl více času na provedení útoku hrubou silou na jeden z účtů počítače. Doporučený stav pro toto nastavení je: `30 or fewer days, but not 0`. Poznámka: Hodnota `0` neodpovídá srovnávacímu testu, protože zakazuje maximální stáří hesla. Cesta ke klíči: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `30 or fewer days, but not 0`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Maximální stáří hesla účtu počítače Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5	V 1–30 _(Registr)	Kritické
Ujistěte se, že je pro člena domény nastaven silný klíč relace (Windows 2000 nebo novější) nastaven na Povoleno. _{(CCE-37614-5)}	Popis: Pokud je toto nastavení zásad povolené, je možné vytvořit zabezpečený kanál pouze s řadiči domény, které můžou šifrovat data zabezpečeného kanálu pomocí silného (128bitového) klíče relace. Chcete-li povolit toto nastavení zásad, musí být všechny řadiče domény v doméně schopné šifrovat zabezpečená data kanálu silným klíčem, což znamená, že všechny řadiče domény musí používat systém Microsoft Windows 2000 nebo novější. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6	Neexistuje nebo = 1 _(Registr)	Kritické

Možnosti zabezpečení – Interaktivní přihlášení

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Ukládání přihlašovacích údajů do mezipaměti musí být omezené. _{(AZ-WIN-73651)}	Popis: Toto nastavení zásad určuje, jestli se uživatel může přihlásit k doméně Windows pomocí informací o účtu uloženém v mezipaměti. Přihlašovací informace pro účty domény se dají ukládat do mezipaměti místně, aby se uživatelé mohli přihlásit, i když se řadič domény nedá kontaktovat. Toto nastavení zásad určuje počet jedinečných uživatelů, pro které se přihlašovací informace ukládají místně do mezipaměti. Pokud je tato hodnota nastavená na hodnotu 0, je funkce mezipaměti přihlášení zakázaná. Útočník, který má přístup k systému souborů serveru, může najít tyto informace uložené v mezipaměti a pomocí útoku hrubou silou určit hesla uživatelů. Doporučený stav pro toto nastavení je: `4 or fewer logon(s)`. Cesta ke klíči: SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon\CachedLogonsCount Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Počet předchozích přihlášení do mezipaměti (v případě, že řadič domény není k dispozici) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6	V 1-4 _(Registr)	Informační
Interaktivní přihlašování: Nezobrazovat naposledy použité uživatelské jméno _{(CCE-36056-0)}	Popis: Toto nastavení zásad určuje, jestli se název účtu posledního uživatele, který se má přihlásit k klientským počítačům ve vaší organizaci, se zobrazí na příslušné přihlašovací obrazovce každého počítače. Povolte toto nastavení zásad, abyste zabránili útočníkům vizuálně shromažďovat názvy účtů z obrazovek stolních nebo přenosných počítačů ve vaší organizaci. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Nezobrazovat poslední přihlášení Poznámka: Ve starších verzích Systému Microsoft Windows bylo toto nastavení pojmenováno Interaktivní přihlášení: Nezobrazovat příjmení, ale bylo přejmenováno od Windows Serveru 2019. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2	= 1 _(Registr)	Kritické
Interaktivní přihlašování: Nevyžadovat stisknutí kláves Ctrl+Alt+Del _{(CCE-37637-6)}	Popis: Toto nastavení zásad určuje, jestli uživatelé musí před přihlášením stisknout kombinaci kláves CTRL+ALT+DEL. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Nevyžadují kombinaci kláves CTRL+ALT+DEL Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1	Neexistuje nebo = 0 _(Registr)	Kritické
Interaktivní přihlášení: Limit pro nečinnost počítače _{(AZ-WIN-73645)}	Popis: Systém Windows si všimne nečinnosti přihlašovací relace a pokud doba nečinnosti překročí limit nečinnosti, spustí se spořič obrazovky a zamkne relaci. Doporučený stav pro toto nastavení je: `900 or fewer second(s), but not 0`. Poznámka: Hodnota `0` neodpovídá srovnávacímu testu, protože zakazuje limit nečinnosti počítače. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Limit nečinnosti počítače Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3	V 1-900 _(Registr)	Důležité
Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit _{(AZ-WIN-202253)}	Popis: Toto nastavení zásad určuje textovou zprávu, která se uživatelům zobrazí při přihlášení. Toto nastavení nakonfigurujte způsobem, který je konzistentní se zabezpečením a provozními požadavky vaší organizace. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Text zprávy pro uživatele, kteří se pokoušejí přihlásit Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4	!= _(Registr)	Upozorňující
Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit _{(AZ-WIN-202254)}	Popis: Toto nastavení zásad určuje text zobrazený v záhlaví okna, které uživatelé uvidí při přihlášení k systému. Toto nastavení nakonfigurujte způsobem, který je konzistentní se zabezpečením a provozními požadavky vaší organizace. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Název zprávy pro uživatele, kteří se pokoušejí přihlásit Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5	!= _(Registr)	Upozorňující
Interaktivní přihlašování: Vyzvat uživatele ke změně hesla před jeho vypršením _{(CCE-10930-6)}	Popis: Toto nastavení zásad určuje, jak daleko budou uživatelé upozorněni, že platnost hesla vyprší. Doporučujeme nakonfigurovat toto nastavení zásad na nejméně 5 dní, ale ne více než 14 dní, aby uživatelé dostatečně upozorňovali, kdy jejich hesla vyprší. Doporučený stav pro toto nastavení je: `between 5 and 14 days`. Cesta ke klíči: Software\Microsoft\systém Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Před vypršením platnosti výzvy uživatele ke změně hesla Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7	V 5-14 _(Registr)	Informační

Možnosti zabezpečení – Klient sítě Microsoft

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Klient sítě Microsoft: Vždy digitálně podepsat komunikaci _{(CCE-36325-9)}	Popis: Toto nastavení zásad určuje, jestli je podepisování paketů vyžadováno komponentou klienta SMB. Poznámka: Pokud mají počítače se systémem Windows Vista povolené toto nastavení zásad a připojují se k souborům nebo tiskovým sdíleným složkám na vzdálených serverech, je důležité, aby se nastavení synchronizovalo s doprovodným nastavením, síťový server Společnosti Microsoft: Digitálně podepsat komunikaci (vždy) na těchto serverech. Další informace o těchtonastaveních Doporučený stav pro toto nastavení je: Povoleno. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Klient sítě Microsoft: Digitálně podepsat komunikaci (vždy) Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1	= 1 _(Registr)	Kritické
Klient sítě Microsoft: Digitálně podepsat komunikaci (pokud server souhlasí) _{(CCE-36269-9)}	Popis: Toto nastavení zásad určuje, jestli se klient SMB pokusí vyjednat podepisování paketů SMB. Poznámka: Povolením tohoto nastavení zásad pro klienty SMB ve vaší síti je plně efektivní pro podepisování paketů se všemi klienty a servery ve vašem prostředí. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Klient sítě Microsoft: Digitálně podepsat komunikaci (pokud server souhlasí) Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2	Neexistuje nebo = 1 _(Registr)	Kritické
Klient sítě Microsoft: Serverům SMB třetích stran odesílat nezašifrované heslo _{(CCE-37863-8)}	Popis: Toto nastavení zásad určuje, jestli bude přesměrovač SMB odesílat hesla ve formátu prostého textu během ověřování na servery SMB třetích stran, které nepodporují šifrování hesla. Toto nastavení zásad se doporučuje zakázat, pokud není k dispozici silný obchodní případ, který ho povolí. Pokud je toto nastavení zásad povolené, budou v síti povolena nešifrovaná hesla. Doporučený stav pro toto nastavení je: Zakázáno. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový klient Microsoftu: Odesílání nešifrovaného hesla serverům SMB třetích stran Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3	Neexistuje nebo = 0 _(Registr)	Kritické
Server sítě Microsoft: Doba nečinnosti před přechodem relace do režimu spánku _{(CCE-38046-9)}	Popis: Toto nastavení zásad umožňuje určit dobu nepřetržité nečinnosti, která musí předat relaci SMB před pozastavením relace kvůli nečinnosti. Správci můžou toto nastavení zásad použít k řízení, kdy počítač pozastaví neaktivní relaci SMB. Pokud se aktivita klienta obnoví, relace se automaticky znovu obnoví. Zdá se, že hodnota 0 umožňuje, aby relace trvaly neomezeně dlouho. Maximální hodnota je 99999, což je více než 69 dnů; tato hodnota zakáže nastavení. Doporučený stav pro toto nastavení je: `15 or fewer minute(s), but not 0`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `15 or fewer minute(s)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoftu: Doba nečinnosti požadovaná před pozastavením relace Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.9.1	V 1-15 _(Registr)	Kritické
Server sítě Microsoft: Vždy digitálně podepsat komunikaci _{(CCE-37864-6)}	Popis: Toto nastavení zásad určuje, jestli je podepisování paketů vyžadováno komponentou serveru SMB. Povolte toto nastavení zásad ve smíšeném prostředí, aby podřízení klienti nemohli pracovní stanici používat jako síťový server. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoft: Digitálně podepsat komunikaci (vždy) Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2	= 1 _(Registr)	Kritické
Server sítě Microsoft: Digitálně podepsat komunikaci (pokud klient souhlasí) _{(CCE-35988-5)}	Popis: Toto nastavení zásad určuje, jestli server SMB vyjedná podepisování paketů SMB s klienty, kteří ji požadují. Pokud z klienta nepochází žádná žádost o podepsání, připojení se povolí bez podpisu, pokud síťový server Microsoftu : Nastavení digitálně podepsat komunikaci (vždy) není povolené. Poznámka: Povolte toto nastavení zásad pro klienty SMB ve vaší síti, aby byly plně efektivní pro podepisování paketů se všemi klienty a servery ve vašem prostředí. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoftu: Digitálně podepsat komunikaci (pokud klient souhlasí) Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3	= 1 _(Registr)	Kritické
Server sítě Microsoft: Po vypršení doby přihlášení odpojit klienty _{(CCE-37972-7)}	Popis: Toto nastavení zabezpečení určuje, jestli se mají odpojit uživatele, kteří jsou připojení k místnímu počítači mimo platnou dobu přihlášení svého uživatelského účtu. Toto nastavení má vliv na komponentu SMB (Server Message Block). Pokud povolíte toto nastavení zásad, měli byste také povolit zabezpečení sítě: Vynutit odhlášení při vypršení doby přihlášení (pravidlo 2.3.11.6). Pokud vaše organizace konfiguruje dobu přihlášení pro uživatele, je toto nastavení zásad nezbytné k zajištění jejich účinnosti. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoft: Odpojení klientů po vypršení doby přihlášení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4	Neexistuje nebo = 1 _(Registr)	Kritické
Server sítě Microsoft: Úroveň ověření cílového názvu hlavního názvu služby (SPN) serveru _{(CCE-10617-9)}	Popis: Toto nastavení zásad řídí úroveň ověřování počítače se sdílenými složkami nebo tiskárnami (server) s hlavním názvem služby (SPN), který poskytuje klientský počítač při vytváření relace pomocí protokolu SMB (Server Message Block). Protokol SMB (Server Message Block) poskytuje základ pro sdílení souborů a tisku a další síťové operace, jako je vzdálená správa systému Windows. Protokol SMB podporuje ověřování hlavního názvu služby serveru SMB (SPN) v objektu blob ověřování poskytovaném klientem SMB, aby se zabránilo třídě útoků na servery SMB, které se označují jako předávací útoky SMB. Toto nastavení ovlivní protokol SMB1 i SMB2. Doporučený stav pro toto nastavení je: `Accept if provided by client`. Konfigurace tohoto nastavení tak, aby `Required from client` odpovídala také srovnávacímu testu. Poznámka: Vzhledem k tomu, že vydání opravy zabezpečení MS KB3161561, může toto nastavení způsobit významné problémy (například problémy s replikací, problémy s úpravami zásad skupiny a chybové ukončení modré obrazovky) na řadičích domény při současném použití s posílením zabezpečení cesty UNC (tj. pravidlo 18.5.14.1). Cis proto doporučuje toto nastavení nasadit na řadiče domény. Cesta ke klíči: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoftu: Úroveň ověření cílového názvu hlavního názvu služby serveru Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5	= 1 _(Registr)	Upozorňující

Možnosti zabezpečení – Microsoft Network Server

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Zakázání serveru SMB v1 _{(AZ-WIN-00175)}	Popis: Zakázání tohoto nastavení zakáže zpracování protokolu SMBv1 na straně serveru. (Doporučeno.) Povolením tohoto nastavení povolíte zpracování protokolu SMBv1 na straně serveru. (Výchozí.) Změny tohoto nastavení vyžadují, aby se projevilo restartování. Další informace viz https://support.microsoft.com/kb/2696547. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Nejde použít Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.3.3	Neexistuje nebo = 0 _(Registr)	Kritické

Možnosti zabezpečení – Přístup k síti

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Účty: Přejmenovat účet správce _{(CCE-10976-9)}	Popis: Předdefinovaný účet místního správce je dobře známý název účtu, na který budou útočníci cílit. Doporučujeme zvolit pro tento účet jiný název a vyhnout se názvům, které označují účty pro správu nebo přístup se zvýšenými oprávněními. Nezapomeňte také změnit výchozí popis místního správce (prostřednictvím konzoly pro správu počítače). Na řadičích domény, protože nemají vlastní místní účty, toto pravidlo odkazuje na předdefinovaný účet správce, který byl vytvořen při prvním vytvoření domény. Cesta ke klíči: [Přístup k systému]NewAdministratorName OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Přejmenování účtu správce Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5	!= Správce _(Zásady)	Upozorňující
Přístup k síti: Neumožnit anonymní výčet účtů SAM _{(CCE-36316-8)}	Popis: Toto nastavení zásad řídí schopnost anonymních uživatelů vytvořit výčet účtů ve Správci účtů zabezpečení (SAM). Pokud povolíte toto nastavení zásad, uživatelé s anonymními připojeními nebudou moct vytvořit výčet uživatelských jmen účtů domény v systémech ve vašem prostředí. Toto nastavení zásad také umožňuje další omezení anonymních připojení. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Tato zásada nemá žádný vliv na řadiče domény. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení etwork přístup: Nepovolit anonymní výčet účtů SAM Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.2	Neexistuje nebo = 1 _(Registr)	Kritické
Přístup k síti: Neumožnit anonymní výčet účtů SAM a sdílení _{(CCE-36077-6)}	Popis: Toto nastavení zásad řídí schopnost anonymních uživatelů vytvořit výčet účtů SAM a sdílených složek. Pokud povolíte toto nastavení zásad, anonymní uživatelé nebudou moct vytvořit výčet uživatelských jmen účtů domény a názvů sdílených síťových složek v systémech ve vašem prostředí. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Tato zásada nemá žádný vliv na řadiče domény. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení Přístup pro etwork: Nepovolit anonymní výčet účtů SAM a sdílených složek Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.3	= 1 _(Registr)	Kritické
Přístup k síti: Použít oprávnění účtu Everyone pro anonymní uživatele _{(CCE-36148-5)}	Popis: Toto nastavení zásad určuje, jaká další oprávnění jsou přiřazena pro anonymní připojení k počítači. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Povolit všem oprávnění pro anonymní uživatele Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5	Neexistuje nebo = 0 _(Registr)	Kritické
Přístup k síti: Vzdáleně přístupné cesty registru _{(CCE-37194-8)}	Popis: Toto nastavení zásad určuje, které cesty registru budou po odkazování na klíč WinReg přístupné, aby bylo možné určit přístupová oprávnění k cestám. Poznámka: Toto nastavení v systému Windows XP neexistuje. V systému Windows XP došlo k nastavení s tímto názvem, ale v systému Windows Server 2003, Windows Vista a Windows Server 2008 se nazývá Přístup k síti: Vzdáleně přístupné cesty registru a dílčí cesty. Poznámka: Při konfiguraci tohoto nastavení zadáte seznam jednoho nebo více objektů. Oddělovač použitý při zadávání seznamu je spojnicový kanál nebo návrat na začátek řádku, tj. zadejte první objekt v seznamu, stiskněte tlačítko Enter, zadejte další objekt, znovu stiskněte Enter atd. Hodnota nastavení se uloží jako seznam oddělený čárkami v šablonách zabezpečení zásad skupiny. Zobrazuje se také jako seznam oddělený čárkami v podokně zobrazení Editoru zásad skupiny a v konzole Výsledná sada zásad. Zaznamenává se v registru jako seznam oddělený odřádkování v REG_MULTI_SZ hodnotě. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\systém Windows NT\CurrentVersion Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Cesty registru vzdálené dostupnosti Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.8	Neexistuje nebo = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\systém Windows NT\CurrentVersion\0\0 _(Registr)	Kritické
Přístup k síti: Vzdáleně přístupné cesty registru a dílčí cesty _{(CCE-36347-3)}	Popis: Toto nastavení zásad určuje, které cesty registru a dílčí cesty budou přístupné, když aplikace nebo proces odkazuje na klíč WinReg k určení přístupových oprávnění. Poznámka: V systému Windows XP se toto nastavení nazývá "Přístup k síti: Vzdáleně přístupné cesty registru", nastavení se stejným názvem v systémech Windows Vista, Windows Server 2008 a Windows Server 2003 v systému Windows XP neexistuje. Poznámka: Při konfiguraci tohoto nastavení zadáte seznam jednoho nebo více objektů. Oddělovač použitý při zadávání seznamu je spojnicový kanál nebo návrat na začátek řádku, tj. zadejte první objekt v seznamu, stiskněte tlačítko Enter, zadejte další objekt, znovu stiskněte Enter atd. Hodnota nastavení se uloží jako seznam oddělený čárkami v šablonách zabezpečení zásad skupiny. Zobrazuje se také jako seznam oddělený čárkami v podokně zobrazení Editoru zásad skupiny a v konzole Výsledná sada zásad. Zaznamenává se v registru jako seznam oddělený odřádkování v REG_MULTI_SZ hodnotě. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\systém Windows NT\CurrentVersion\Print Software\Microsoft\systém Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\systém Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení Etwork přístup: Vzdáleně přístupné cesty registru a dílčí cesty Pokud server obsahuje roli služby Active Directory Certificate Services se službou role Certifikační autorita , měl by obsahovat i výše uvedený seznam: System\CurrentControlSet\Services\CertSvc. Pokud má server nainstalovanou funkci serveru WINS, měl by výše uvedený seznam obsahovat také: System\CurrentControlSet\Services\WINS Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.9	Neexistuje nebo = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\systém Windows NT\CurrentVersion\Print\0Software\Microsoft\systém Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Control\Terminal Server\0System\ CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\systém Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 _(Registr)	Kritické
Přístup k síti: Omezení anonymního přístupu k pojmenovaným kanálům a sdíleným složkám _{(CCE-36021-4)}	Popis: Pokud je toto nastavení zásady povolené, omezuje anonymní přístup jenom na tyto sdílené složky a kanály, které jsou v `Network access: Named pipes that can be accessed anonymously` nastavení `Network access: Shares that can be accessed anonymously` pojmenované. Toto nastavení zásad řídí přístup relace null ke sdíleným složkám ve vašich počítačích přidáním `RestrictNullSessAccess` hodnoty `1` v klíči `HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters` registru. Tato hodnota registru přepíná sdílené složky relace s hodnotou null, aby bylo možné určit, jestli serverová služba omezuje neověřené klienty přístup k pojmenovaným prostředkům. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Omezení anonymního přístupu k pojmenovaným kanálům a sdíleným složkám Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10	Neexistuje nebo = 1 _(Registr)	Kritické
Přístup k síti: Omezení klientů provádět vzdálená volání SAM _{(AZ-WIN-00142)}	Popis: Toto nastavení zásad umožňuje omezit vzdálená připojení RPC k SAM. Pokud není vybraný, použije se výchozí popisovač zabezpečení. Tato zásada se podporuje alespoň ve Windows Serveru 2016. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM Operační systém: WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators: Remote Access: Allow`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení Etwork přístup: Omezení klientů, kteří mohou provádět vzdálená volání do SAM Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.11	Neexistuje nebo = O:BAG:BAD:(A;; RC;;; BA) _(Registr)	Kritické
Přístup k síti: Sdílené složky, ke kterým lze přistupovat anonymně _{(CCE-38095-6)}	Popis: Toto nastavení zásad určuje, ke kterým síťovým sdíleným složkám mají přístup anonymní uživatelé. Výchozí konfigurace tohoto nastavení zásad má malý vliv, protože všichni uživatelé musí být ověřeni předtím, než budou mít přístup ke sdíleným prostředkům na serveru. Poznámka: Přidání dalších sdílených složek do tohoto nastavení zásad skupiny může být velmi nebezpečné. Každý uživatel sítě má přístup ke všem uvedeným sdíleným složkám, které by mohly způsobit nebo poškodit citlivá data. Poznámka: Při konfiguraci tohoto nastavení zadáte seznam jednoho nebo více objektů. Oddělovač použitý při zadávání seznamu je spojnicový kanál nebo návrat na začátek řádku, tj. zadejte první objekt v seznamu, stiskněte tlačítko Enter, zadejte další objekt, znovu stiskněte Enter atd. Hodnota nastavení se uloží jako seznam oddělený čárkami v šablonách zabezpečení zásad skupiny. Zobrazuje se také jako seznam oddělený čárkami v podokně zobrazení Editoru zásad skupiny a v konzole Výsledná sada zásad. Zaznamenává se v registru jako seznam oddělený odřádkování v REG_MULTI_SZ hodnotě. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `<blank>` hodnotu (tj. Žádná): Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení Etwork access: Sdílené složky, ke kterým je možné přistupovat anonymně Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.12	Neexistuje nebo = _(Registr)	Kritické
Přístup k síti: Model sdílení a zabezpečení místních účtů _{(CCE-37623-6)}	Popis: Toto nastavení zásad určuje, jak se ověřují přihlášení k síti, která používají místní účty. Možnost Classic umožňuje přesnou kontrolu nad přístupem k prostředkům, včetně možnosti přiřazovat různé typy přístupu různým uživatelům pro stejný prostředek. Možnost Pouze host vám umožňuje zacházet se všemi uživateli stejně. V tomto kontextu se všichni uživatelé ověřují jako host, aby obdrželi stejnou úroveň přístupu k danému prostředku. Doporučený stav pro toto nastavení je: `Classic - local users authenticate as themselves`. Poznámka: Toto nastavení nemá vliv na interaktivní přihlášení, která se provádějí vzdáleně pomocí takových služeb, jako je Telnet nebo Vzdálená plocha (dříve označovaná jako Terminálová služba). Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Classic - local users authenticate as themselves`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Sdílení a model zabezpečení pro místní účty Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13	Neexistuje nebo = 0 _(Registr)	Kritické

Možnosti zabezpečení – Zabezpečení sítě

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Zabezpečení sítě: Povolit místnímu systému používat identitu počítače pro protokol NTLM _{(CCE-38341-4)}	Popis: Pokud je toto nastavení zásad povolené, způsobí to, že místní systémové služby, které používají negotiate používat identitu počítače, když je při vyjednávání vybráno ověřování NTLM. Tato zásada se podporuje alespoň ve Windows 7 nebo Windows Serveru 2008 R2. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení zabezpečení etwork: Povolit místnímu systému používat identitu počítače pro NTLM Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.11.1	= 1 _(Registr)	Kritické
Zabezpečení sítě: Povolit návrat k prázdné relaci místního systému _{(CCE-37035-3)}	Popis: Toto nastavení zásad určuje, zda má ntLM povoleno vrátit se k relaci NULL při použití s LocalSystem. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Povolit záložní relaci LocalSystem NULL Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2	Neexistuje nebo = 0 _(Registr)	Kritické
Zabezpečení sítě: Povolit žádostem o ověřování PKU2U odeslaným do tohoto počítače používat online identity _{(CCE-38047-7)}	Popis: Toto nastavení určuje, jestli se online identity můžou ověřit v tomto počítači. Kryptografický protokol PKU2U (Public Key Cryptography Based User-to-User) zavedený v systémech Windows 7 a Windows Server 2008 R2 je implementován jako zprostředkovatel podpory zabezpečení (SSP). Zprostředkovatel sdílených služeb umožňuje ověřování mezi dvěma účastníky, zejména prostřednictvím funkce sdílení médií a souborů systému Windows 7 s názvem Domácí skupina, která umožňuje sdílení mezi počítači, které nejsou členy domény. S PKU2U, nové rozšíření bylo zavedeno v negotiate ověřovací balíček , `Spnego.dll`. V předchozích verzích systému Windows se vyjednávat rozhodl, zda k ověřování použít Protokol Kerberos nebo NTLM. Zprostředkovatel sdílených služeb rozšíření pro Negotiate, `Negoexts.dll`který je považován za ověřovací protokol systému Windows, podporuje SSP společnosti Microsoft včetně PKU2U. Pokud jsou počítače nakonfigurované tak, aby přijímaly žádosti o ověření pomocí online ID, `Negoexts.dll` volá zprostředkovatel zabezpečení PKU2U na počítači, který se používá k přihlášení. Poskytovatel sdílených služeb PKU2U získá místní certifikát a vyměňuje zásady mezi partnerskými počítači. Po ověření na partnerském počítači se certifikát v metadatech odešle do přihlašovacího partnerského uzlu k ověření a přidruží certifikát uživatele k tokenu zabezpečení a proces přihlášení se dokončí. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Povolit žádostem o ověření PKU2U pro tento počítač používat online identity Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zabezpečení sítě: Konfigurace typů šifrování povolených pro Protokol Kerberos _{(CCE-37755-6)}	Popis: Toto nastavení zásad umožňuje nastavit typy šifrování, které smí protokol Kerberos používat. Tato zásada se podporuje alespoň ve Windows 7 nebo Windows Serveru 2008 R2. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Konfigurace typů šifrování povolených pro Protokol Kerberos Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.11.4	Neexistuje nebo = 2147483640 _(Registr)	Kritické
Zabezpečení sítě: Neukládat hodnotu hash programu LAN Manager při příští změně hesla _{(CCE-36326-7)}	Popis: Toto nastavení zásad určuje, jestli se při změně hesla uloží hodnota hash LAN Manageru (LM) pro nové heslo. Hodnota hash LM je relativně slabá a náchylná k útoku v porovnání s kryptograficky silnější hodnotou hash microsoft systém Windows NT hash. Vzhledem k tomu, že hodnoty hash LM jsou uložené v místním počítači v databázi zabezpečení, může být hesla v případě útoku databáze snadno ohrožena. Poznámka: Pokud je toto nastavení zásad povolené, může dojít k selhání starších operačních systémů a některých aplikací třetích stran. Nezapomeňte také, že po povolení tohoto nastavení bude nutné změnit heslo pro všechny účty, abyste získali správnou výhodu. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Při příští změně hesla neukládejte hodnotu hash lan Manageru. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5	Neexistuje nebo = 1 _(Registr)	Kritické
Zabezpečení sítě: Úroveň ověřování pro systém LAN Manager _{(CCE-36173-3)}	Popis: LAN Manager (LM) je řada raných klientských a serverových softwaru Microsoftu, který umožňuje uživatelům propojit osobní počítače v jedné síti. Mezi možnosti sítě patří transparentní sdílení souborů a tisku, funkce zabezpečení uživatelů a nástroje pro správu sítě. V doménách služby Active Directory je protokol Kerberos výchozím ověřovacím protokolem. Pokud však protokol Kerberos není z nějakého důvodu vyjednán, služba Active Directory bude používat protokol LM, NTLM nebo NTLMv2. Ověřování lan Manageru zahrnuje LM, Varianty NTLM a NTLM verze 2 (NTLMv2) a je protokol, který se používá k ověřování všech klientů Systému Windows při provádění následujících operací: – Připojení k doméně – Ověření mezi doménovými strukturami služby Active Directory – Ověřování domén na nižší úrovni – Ověřování na počítačích, na kterých není spuštěn systém Windows 2000, Windows Server 2003 nebo Windows XP) – Ověřte počítače, které nejsou v doméně, možné hodnoty zabezpečení sítě: Nastavení na úrovni ověřování LAN Manageru jsou: - Odesílání odpovědí LM &NTLM - Odeslat LM &NTLMM — použít zabezpečení relace NTLM2, pokud je vyjednáno - Odeslat pouze odpovědi NTLMv2 - Odeslat pouze odpovědi NTLMv2\odmítnout LM - Odeslat pouze odpovědi NTLMv2\odmítnout LM & NTLM - Nedefinované zabezpečení sítě: Nastavení úrovně ověřování LAN Manager určuje, který protokol ověřování výzvy a odpovědi se používá pro přihlášení k síti. Tato volba má vliv na úroveň ověřovacího protokolu, kterou klienti používají, úroveň zabezpečení relace, kterou počítače vyjednávají, a úroveň ověřování, kterou servery přijímají následujícím způsobem: – Odesílat odpovědi LM &NTLM. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLMv2. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat LM & NTLM — použít zabezpečení relace NTLMv2, pokud je vyjednáno. Klienti používají ověřování LM a NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat pouze odpověď NTLM. Klienti používají pouze ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat pouze odpověď NTLMv2. Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat odpověď NTLMv2 pouze\odmítnout LM. Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou LM (přijímají pouze ověřování NTLM a NTLMv2). - Odeslat odpověď NTLMv2 pouze\odmítnout LM & NTLM. Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování LM a NTLM (přijímají pouze ověřování NTLMv2). Tato nastavení odpovídají úrovním probíraným v jiných dokumentech Společnosti Microsoft následujícím způsobem: – úroveň 0 – odeslání LM a odpovědi NTLM; nikdy nepoužívejte zabezpečení relace NTLMv2. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLMv2. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 1 – Pokud je vyjednáno, použijte zabezpečení relace NTLMv2. Klienti používají ověřování LM a NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 2 – Odeslat pouze odpověď NTLM. Klienti používají pouze ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 3 – odeslat pouze odpověď NTLMv2. Klienti používají ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 4 – Řadiče domény odmítnou odpovědi LM. Klienti používají ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování LM, tj. přijímají protokoly NTLM a NTLMv2. - Úroveň 5 – Řadiče domény odmítnou odpovědi LM a NTLM (přijímají pouze protokol NTLMv2). Klienti používají ověřování NTLMv2, používají a zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování NTLM a LM (přijímají pouze protokol NTLMv2). Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím gp, nastavte následující cestu uživatelského rozhraní na: "Odeslat pouze odpověď NTLMv2. Odmítnout LM & NTLM': Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení zabezpečení etwork: Úroveň ověřování LAN Manageru Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.11.7	= 5 _(Registr)	Kritické
Zabezpečení sítě: Požadavky na podepisování klienta LDAP _{(CCE-36858-9)}	Popis: Toto nastavení zásad určuje úroveň podepisování dat, které je požadováno jménem klientů, kteří vydávají požadavky LDAP BIND. Poznámka: Toto nastavení zásad nemá žádný vliv na jednoduchou vazbu`ldap_simple_bind` PROTOKOLU LDAP nebo jednoduchou vazbu protokolu LDAP prostřednictvím protokolu SSL (`ldap_simple_bind_s`). Žádní klienti Microsoft LDAP, kteří jsou součástí systému Windows XP Professional, používají ke komunikaci s řadičem domény ldap_simple_bind nebo ldap_simple_bind_s. Doporučený stav pro toto nastavení je: `Negotiate signing`. Konfigurace tohoto nastavení tak, aby `Require signing` odpovídala také srovnávacímu testu. Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní ( `Negotiate signing` nakonfigurujete tak, aby `Require signing` vyhovovala také srovnávacímu testu): Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Požadavky na podepisování klientů LDAP Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8	Neexistuje nebo = 1 _(Registr)	Kritické
Zabezpečení sítě: Minimální zabezpečení relace pro klienty založené na NTLM SSP (včetně zabezpečeného vzdáleného volání procedur) _{(CCE-37553-5)}	Popis: Toto nastavení zásad určuje, které chování jsou klienty povoleny pro aplikace pomocí zprostředkovatele podpory zabezpečení NTLM (SSP). Rozhraní SSP (SSPI) používají aplikace, které potřebují ověřovací služby. Nastavení nemění způsob fungování sekvence ověřování, ale vyžaduje určité chování v aplikacích, které používají SSPI. Doporučený stav pro toto nastavení je: `Require NTLMv2 session security, Require 128-bit encryption`. Poznámka: Tyto hodnoty jsou závislé na zabezpečení sítě: Hodnota zabezpečení na úrovni ověřování LAN Manageru. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Require NTLMv2 session security, Require 128-bit encryption`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Minimální zabezpečení relace pro klienty založené na zprostředkovateli zabezpečení ntLM (včetně zabezpečeného RPC) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.11.9	= 537395200 _(Registr)	Kritické
Zabezpečení sítě: Minimální zabezpečení relace pro servery založené na NTLM SSP (včetně zabezpečeného vzdáleného volání procedur) _{(CCE-37835-6)}	Popis: Toto nastavení zásad určuje, které chování jsou servery povoleny pro aplikace pomocí zprostředkovatele podpory zabezpečení NTLM (SSP). Rozhraní SSP (SSPI) používají aplikace, které potřebují ověřovací služby. Nastavení nemění způsob fungování sekvence ověřování, ale vyžaduje určité chování v aplikacích, které používají SSPI. Doporučený stav pro toto nastavení je: `Require NTLMv2 session security, Require 128-bit encryption`. Poznámka: Tyto hodnoty jsou závislé na zabezpečení sítě: Hodnota zabezpečení na úrovni ověřování LAN Manageru. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení sítě\Zabezpečení sítě: Minimální zabezpečení relace pro servery založené na zprostředkovateli zabezpečení protokolu NTLM (včetně zabezpečeného RPC) pro vyžadování zabezpečení relace NTLMv2 a vyžadování 128bitového šifrování (všechny vybrané možnosti). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.11.10	= 537395200 _(Registr)	Kritické

Možnosti zabezpečení – Vypnutí

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Vypnutí: Povolit vypnutí systému bez nutnosti přihlášení _{(CCE-36788-8)}	Popis: Toto nastavení zásad určuje, jestli se počítač dá vypnout, když uživatel není přihlášený. Pokud je toto nastavení zásad povolené, je příkaz pro vypnutí k dispozici na přihlašovací obrazovce windows. Doporučujeme zakázat toto nastavení zásad, abyste omezili možnost vypnout počítač uživatelům s přihlašovacími údaji v systému. Doporučený stav pro toto nastavení je: `Disabled`. Poznámka: V serverech 2008 R2 a starších verzích toto nastavení nemělo žádný vliv na relace vzdálené plochy (RDP) / Terminálové služby – to ovlivnilo pouze místní konzolu. Společnost Microsoft však změnila chování v systému Windows Server 2012 (jiné než R2) a vyšší, kde pokud je nastavena na Povoleno, relace protokolu RDP mohou také vypnout nebo restartovat server. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Vypnutí: Povolit vypnutí systému bez nutnosti přihlášení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1	Neexistuje nebo = 0 _(Registr)	Upozorňující
Vypnutí: Vymazat stránkovací soubor virtuální paměti _{(AZ-WIN-00181)}	Popis: Toto nastavení zásad určuje, zda je stránkovací soubor virtuální paměti při vypnutí systému vymazán. Pokud je toto nastavení zásad povolené, systémový stránkovací soubor se vymaže pokaždé, když se systém správně vypne. Pokud povolíte toto nastavení zabezpečení, soubor hibernace (Hiberfil.sys) se při zakázání hibernace v přenosném počítači vynuluje. Vypnutí a restartování počítače bude trvat déle a bude zvlášť patrné na počítačích s velkými stránkovacími soubory. Cesta ke klíči: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta zásad skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Vypnutí: Vymazání stránkovacího souboru virtuální paměti na `Disabled`. Standardní mapování dodržování předpisů:	Neexistuje nebo = 0 _(Registr)	Kritické

Možnosti zabezpečení – Kryptografie systému

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Uživatelé musí být povinni zadat heslo pro přístup k privátním klíčům uloženým v počítači. _{(AZ-WIN-73699)}	Popis: Pokud se privátní klíč zjistí, útočník ho může použít k ověření jako autorizovaný uživatel a získat přístup k síťové infrastruktuře. Základním kamenem infrastruktury veřejných klíčů je privátní klíč, který slouží k šifrování nebo digitálnímu podepisování informací. Pokud dojde k odcizení privátního klíče, povede to k ohrožení ověřování a neporušování identity získané prostřednictvím infrastruktury veřejných klíčů, protože útočník může pomocí privátního klíče digitálně podepsat dokumenty a předstírat, že je autorizovaným uživatelem. Držitelé digitálního certifikátu i vydávající autority musí chránit počítače, úložné zařízení nebo cokoli, co používají k uchovávání privátních klíčů. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Kryptografie systému: Vynucení silné ochrany klíčů pro uživatelské klíče uložené v počítači Standardní mapování dodržování předpisů:	= 2 _(Registr)	Důležité
Windows Server musí být nakonfigurovaný tak, aby používal algoritmy kompatibilní se standardem FIPS pro šifrování, hashování a podepisování. _{(AZ-WIN-73701)}	Popis: Toto nastavení zajišťuje, že systém používá algoritmy, které jsou kompatibilní se standardem FIPS pro šifrování, hashování a podepisování. Algoritmy kompatibilní se standardem FIPS splňují specifické standardy stanovené vládou USA a musí se jednat o algoritmy používané pro všechny funkce šifrování operačního systému. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled Operační systém: WS2016, WS2019, WS2022 Typ serveru: Člen domény Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Kryptografie systému: Použití algoritmů kompatibilních se standardem FIPS pro šifrování, hashování a podepisování Standardní mapování dodržování předpisů:	= 1 _(Registr)	Důležité

Možnosti zabezpečení – Systémové objekty

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Systémové objekty: Nevyžadovat rozlišování malých a velkých písmen pro podsystémy nepatřící pod systém Windows _{(CCE-37885-1)}	Popis: Toto nastavení zásad určuje, jestli se u všech subsystémů vynucuje rozlišování velkých a malých písmen. Subsystém Microsoft Win32 nerozlišuje velká a malá písmena. Jádro však podporuje citlivost malých a malých písmen pro jiné subsystémy, jako je přenosné rozhraní operačního systému pro UNIX (POSIX). Vzhledem k tomu, že systém Windows nerozlišuje velká a malá písmena (ale subsystém POSIX bude podporovat citlivost písmen), může uživatel subsystému POSIX vytvořit soubor se stejným názvem jako jiný soubor pomocí smíšeného případu, aby ho označil. Taková situace může blokovat přístup k těmto souborům jiným uživatelem, který používá typické nástroje Win32, protože bude k dispozici pouze jeden ze souborů. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Systémové objekty: Vyžadovat nerozlišování malých a malých písmen pro subsystémy mimo Systém Windows Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1	Neexistuje nebo = 1 _(Registr)	Upozorňující
Systémové objekty: Posílit výchozí oprávnění interních systémových objektů (například symbolických odkazů) _{(CCE-37644-2)}	Popis: Toto nastavení zásad určuje sílu výchozího volitelného seznamu řízení přístupu (DACL) pro objekty. Služba Active Directory udržuje globální seznam sdílených systémových prostředků, jako jsou názvy zařízení SYSTÉMU DOS, mutexy a semafory. Tímto způsobem se objekty dají nacházet a sdílet mezi procesy. Každý typ objektu se vytvoří s výchozím seznamem DACL, který určuje, kdo má k objektům přístup a jaká oprávnění jsou udělena. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace zásady pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Systémové objekty: Posílení výchozích oprávnění interních systémových objektů (např. symbolické odkazy) na `Enabled` Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.3.15.2	= 1 _(Registr)	Kritické

Možnosti zabezpečení – Nastavení systému

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Nastavení systému: Použít pravidla certifikátu u spustitelných souborů systému Windows pro zásady omezení softwaru _{(AZ-WIN-00155)}	Popis: Toto nastavení zásad určuje, jestli se digitální certifikáty zpracovávají, když jsou povolené zásady omezení softwaru, a uživatel nebo proces se pokusí spustit software s příponou názvu souboru .exe. Povolí nebo zakáže pravidla certifikátů (typ pravidla zásad omezení softwaru). Pomocí zásad omezení softwaru můžete vytvořit pravidlo certifikátu, které povolí nebo zakáže spuštění softwaru podepsaného službou Authenticode ® na základě digitálního certifikátu přidruženého k softwaru. Aby se pravidla certifikátů projevila v zásadách omezení softwaru, musíte toto nastavení zásad povolit. Cesta ke klíči: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Nastavení systému: Použití pravidel certifikátů u spustitelných souborů systému Windows pro zásady omezení softwaru Standardní mapování dodržování předpisů:	= 1 _(Registr)	Upozorňující

Možnosti zabezpečení – Řízení uživatelských účtů

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Řízení uživatelských účtů: Režim schválení správce pro integrovaný účet správce _{(CCE-36494-3)}	Popis: Toto nastavení zásad řídí chování režimu schválení správcem pro předdefinovaný účet správce. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Režim schválení správce pro předdefinovaný účet správce Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1	= 1 _(Registr)	Kritické
Řízení uživatelských účtů: Povolit aplikacím UIAccess zobrazení výzvy ke zvýšení oprávnění bez použití zabezpečené plochy _{(CCE-36863-9)}	Popis: Toto nastavení zásad určuje, jestli programy usnadnění uživatelského rozhraní (UIAccess nebo UIA) můžou automaticky zakázat zabezpečenou plochu pro výzvy ke zvýšení oprávnění používané standardním uživatelem. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Povolit aplikacím UIAccess zobrazit výzvu ke zvýšení oprávnění bez použití zabezpečené plochy Standardní mapování dodržování předpisů:	= 0 _(Registr)	Kritické
Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v Režimu schválení správce _{(CCE-37029-6)}	Popis: Toto nastavení zásad řídí chování výzvy ke zvýšení oprávnění pro správce. Doporučený stav pro toto nastavení je: `Prompt for consent on the secure desktop`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Prompt for consent on the secure desktop`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v režimu schválení správcem Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2	= 2 _(Registr)	Kritické
Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro standardní uživatele _{(CCE-36864-7)}	Popis: Toto nastavení zásad řídí chování výzvy ke zvýšení oprávnění pro standardní uživatele. Doporučený stav pro toto nastavení je: `Automatically deny elevation requests`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Automatically deny elevation requests:` Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro standardní uživatele Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3	= 0 _(Registr)	Kritické
Řízení uživatelských účtů: Zjistit instalace aplikací a zobrazit výzvu ke zvýšení oprávnění _{(CCE-36533-8)}	Popis: Toto nastavení zásad řídí chování detekce instalace aplikace pro počítač. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Zjištění instalací aplikací a zobrazení výzvy ke zvýšení oprávnění Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4	= 1 _(Registr)	Kritické
Řízení uživatelských účtů: Zvýšit oprávnění pouze u aplikací UIAccess, které jsou nainstalovány v zabezpečených umístěních _{(CCE-37057-7)}	Popis: Toto nastavení zásad určuje, jestli se aplikace, které požadují spuštění s úrovní integrity uiAccess (User Interface Accessibility), musí nacházet v zabezpečeném umístění v systému souborů. Zabezpečená umístění jsou omezena na následující položky: – `…\Program Files\`včetně podsložek – `…\Windows\system32\…\Program Files (x86)\` - včetně podsložek pro 64bitové verze Systému Windows Poznámka: Systém Windows vynucuje kontrolu podpisu infrastruktury veřejných klíčů (PKI) u jakékoli interaktivní aplikace, která požaduje spuštění s úrovní integrity UIAccess bez ohledu na stav tohoto nastavení zabezpečení. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Pouze zvýšit úroveň aplikací UIAccess nainstalovaných v zabezpečených umístěních Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5	= 1 _(Registr)	Kritické
Řízení uživatelských účtů: Spustit všechny správce v Režimu schválení správce _{(CCE-36869-6)}	Popis: Toto nastavení zásad řídí chování všech nastavení zásad řízení uživatelských účtů (UAC) pro počítač. Pokud toto nastavení zásad změníte, musíte restartovat počítač. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Pokud je toto nastavení zásad zakázané, Security Center vás upozorní, že došlo ke snížení celkového zabezpečení operačního systému. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Spustit všechny správce v režimu schválení správcem Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6	= 1 _(Registr)	Kritické
Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepnout na zabezpečenou plochu _{(CCE-36866-2)}	Popis: Toto nastavení zásad určuje, jestli se výzva k žádosti o zvýšení oprávnění zobrazí na ploše interaktivního uživatele nebo na zabezpečené ploše. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepněte na zabezpečenou plochu. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7	= 1 _(Registr)	Kritické
Řízení uživatelských účtů: Virtualizovat chyby zápisu do souboru a registru do umístění jednotlivých uživatelů _{(CCE-37064-3)}	Popis: Toto nastavení zásad určuje, jestli se chyby zápisu aplikace přesměrují do definovaných umístění registru a systému souborů. Toto nastavení zásad zmírní aplikace, které běží jako správce, a zapisuje data aplikací za běhu do: , `%ProgramFiles%`- `%Windir%`, - , nebo `%Windir%\system32`- `HKEY_LOCAL_MACHINE\Software`. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Virtualizace selhání zápisu souborů a registru do umístění pro jednotlivé uživatele Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8	= 1 _(Registr)	Kritické

Nastavení zabezpečení – Zásady účtu

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Prahová hodnota uzamčení účtu _{(AZ-WIN-73311)}	Popis: Toto nastavení zásad určuje počet neúspěšných pokusů o přihlášení před uzamčením účtu. Nastavení této zásady tak, aby `0` nevyhovuje srovnávacímu testu, protože tím zakáže prahovou hodnotu uzamčení účtu. Doporučený stav pro toto nastavení je: `5 or fewer invalid logon attempt(s), but not 0`. Poznámka: Nastavení zásad hesel (oddíl 1.1) a nastavení zásad uzamčení účtu (oddíl 1.2) se musí použít prostřednictvím objektu zásad skupiny výchozích zásad domény, aby se jako výchozí chování globálně projevily uživatelské účty domény . Pokud jsou tato nastavení nakonfigurovaná v jiném objektu zásad skupiny, ovlivní pouze místní uživatelské účty v počítačích, které objekt zásad skupiny obdrží. Vlastní výjimky výchozích zásad hesel a pravidel zásad uzamčení účtu pro konkrétní uživatele domény nebo skupiny se ale dají definovat pomocí objektů nastavení hesel (PSO), které jsou zcela oddělené od zásad skupiny a nejsnápadnější konfigurací pomocí Centra správy služby Active Directory. Cesta ke klíči: [Přístup k systému]LockoutBadCount Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Prahová hodnota uzamčení účtu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 1.2.2 CIS WS2019 1.2.2	1–3 _(Zásady)	Důležité
Vynucení historie hesel _{(CCE-37166-6)}	Popis: Toto nastavení zásad určuje počet obnovených jedinečných hesel, která musí být přidružena k uživatelskému účtu, abyste mohli znovu použít staré heslo. Hodnota tohoto nastavení zásad musí být mezi 0 a 24 hesly. Výchozí hodnota pro Windows Vista je 0 hesel, ale výchozí nastavení v doméně je 24 hesel. Pokud chcete zachovat efektivitu tohoto nastavení zásad, použijte nastavení Minimální stáří hesla, abyste uživatelům zabránili v opakované změně hesla. Doporučený stav pro toto nastavení je: 24 nebo více hesel. Cesta ke klíči: [Přístup k systému]PasswordHistorySize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `24 or more password(s)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Vynutit historii hesel Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 1.1.1	>= 24 _(Zásady)	Kritické
Maximální stáří hesla _{(CCE-37167-4)}	Popis: Toto nastavení zásad definuje, jak dlouho může uživatel použít heslo před vypršením jeho platnosti. Hodnoty pro toto nastavení zásad jsou v rozsahu od 0 do 999 dnů. Pokud nastavíte hodnotu na 0, heslo nikdy nevyprší. Vzhledem k tomu, že útočníci můžou prolomit hesla, tím častěji heslo změníte tím méně příležitostí, než bude útočník muset použít prolomené heslo. Čím nižší je ale tato hodnota nastavená, tím vyšší je potenciál pro zvýšení počtu hovorů na podporu helpdesku kvůli tomu, že uživatelé musí změnit heslo nebo zapomenout, které heslo je aktuální. Doporučený stav pro toto nastavení je `60 or fewer days, but not 0`. Cesta ke klíči: [Systémový přístup]MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `365 or fewer days, but not 0`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Maximální stáří hesla Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 1.1.2	V 1-70 _(Zásady)	Kritické
Minimální stáří hesla _{(CCE-37073-4)}	Popis: Toto nastavení zásad určuje počet dní, po které musíte použít heslo, než ho budete moct změnit. Rozsah hodnot pro toto nastavení zásad je mezi 1 a 999 dny. (Můžete také nastavit hodnotu 0, aby se povolily okamžité změny hesla.) Výchozí hodnota tohoto nastavení je 0 dní. Doporučený stav pro toto nastavení je: `1 or more day(s)`. Cesta ke klíči: [Přístup systému]MinimumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `1 or more day(s)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Minimální stáří hesla Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 1.1.3	>= 1 _(Zásady)	Kritické
Minimální délka hesla _{(CCE-36534-6)}	Popis: Toto nastavení zásad určuje nejmenší počet znaků, které tvoří heslo pro uživatelský účet. Existuje mnoho různých teorie o tom, jak určit nejlepší délku hesla pro organizaci, ale možná "pass phrase" je lepší termín než "heslo". V systému Microsoft Windows 2000 nebo novější můžou být předávací fráze poměrně dlouhé a můžou obsahovat mezery. Proto fráze jako "Chci pít $5 milkshake" je platná heslo; je to výrazně silnější heslo než 8 nebo 10místný řetězec náhodných čísel a písmen, a přesto je jednodušší si zapamatovat. Uživatelé musí být poučit o správném výběru a údržbě hesel, zejména pokud jde o délku hesla. V podnikových prostředích je ideální hodnota pro nastavení minimální délky hesla 14 znaků, ale tuto hodnotu byste měli upravit tak, aby vyhovovala obchodním požadavkům vaší organizace. Doporučený stav pro toto nastavení je: `14 or more character(s)`. Cesta ke klíči: [Systémový přístup]MinimumPasswordLength OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `14 or more character(s)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Minimální délka hesla Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 1.1.4	>= 14 _(Zásady)	Kritické
Heslo musí splňovat požadavky na složitost. _{(CCE-37063-5)}	Popis: Toto nastavení zásad kontroluje všechna nová hesla, aby zajistila, že splňují základní požadavky na silná hesla. Pokud je tato zásada povolená, musí hesla splňovat následující minimální požadavky: – Neobsahuje název účtu uživatele nebo části celého jména uživatele, které překračují dva po sobě jdoucí znaky – Musí obsahovat alespoň šest znaků – obsahují znaky ze tří z následujících čtyř kategorií: – anglické velké znaky (A až Z) – Anglické malá písmena (a až z) – Základní 10 číslice (0 až 9) – Jiné než abecední znaky (například !, $, #, %) – kategorie zachytávání všech znaků Unicode, která nepatří do předchozích čtyř kategorií. Tato pátá kategorie může být specifická pro jednotlivé oblasti. Každý další znak v hesle zvyšuje jeho složitost exponenciálně. Například sedmiznakové, všechna malá písmena abecední heslo by měla 267 (přibližně 8 x 109 nebo 8 miliard) možných kombinací. Při 1 000 000 pokusech za sekundu (schopnost mnoha nástrojů pro prolomení hesla) by to trvalo jen 133 minut. Sedmiznakové abecední heslo s citlivostí písmen má 527 kombinací. Alfanumerické heslo s rozlišováním sedmi znaků bez interpunkce má 627 kombinací. Heslo s osmi znaky má možné kombinace 268 (nebo 2 x 1011). I když se může zdát, že se jedná o velké číslo, při 1 000 000 pokusech za sekundu může trvat jen 59 hodin, než zkusí všechna možná hesla. Mějte na paměti, že tyto časy se výrazně zvýší pro hesla, která používají znaky ALT a další speciální znaky klávesnice, například "!" nebo "@". Správné použití nastavení hesla může pomoct ztížit připojení útoku hrubou silou. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: [Systémový přístup]Složitost hesla OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Heslo musí splňovat požadavky na složitost. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5	= 1 _(Zásady)	Kritické
Resetování čítače uzamčení účtu po _{(AZ-WIN-73309)}	Popis: Toto nastavení zásad určuje dobu, po kterou se prahová hodnota uzamčení účtu resetuje na nulu. Výchozí hodnota pro toto nastavení zásad není definována. Pokud je definována prahová hodnota uzamčení účtu, musí být tento čas resetování menší nebo roven hodnotě pro nastavení doby trvání uzamčení účtu. Pokud toto nastavení zásad ponecháte na výchozí hodnotě nebo nakonfigurujete hodnotu na interval, který je příliš dlouhý, může být vaše prostředí ohroženo útokem DoS. Útočník může se zlými úmysly provést řadu neúspěšných pokusů o přihlášení u všech uživatelů v organizaci, což zamkne jejich účty. Pokud nebyly stanoveny žádné zásady pro resetování uzamčení účtu, jednalo by se o ruční úlohu pro správce. Naopak pokud je pro toto nastavení zásad nakonfigurovaná přiměřenou časovou hodnotu, budou uživatelé uzamčeni po nastavené období, dokud nebudou všechny účty automaticky odemknuty. Doporučený stav pro toto nastavení je: `15 or more minute(s)`. Poznámka: Nastavení zásad hesel (oddíl 1.1) a nastavení zásad uzamčení účtu (oddíl 1.2) se musí použít prostřednictvím objektu zásad skupiny výchozích zásad domény, aby se jako výchozí chování globálně projevily uživatelské účty domény . Pokud jsou tato nastavení nakonfigurovaná v jiném objektu zásad skupiny, ovlivní pouze místní uživatelské účty v počítačích, které objekt zásad skupiny obdrží. Vlastní výjimky výchozích zásad hesel a pravidel zásad uzamčení účtu pro konkrétní uživatele domény nebo skupiny se ale dají definovat pomocí objektů nastavení hesel (PSO), které jsou zcela oddělené od zásad skupiny a nejsnápadnější konfigurací pomocí Centra správy služby Active Directory. Cesta ke klíči: [Systémový přístup]ResetLockoutCount OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Resetování čítače uzamčení účtu po Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 1.2.3 CIS WS2019 1.2.3	>= 15 _(Zásady)	Důležité
Ukládání hesel pomocí reverzibilního šifrování _{(CCE-36286-3)}	Popis: Toto nastavení zásad určuje, zda operační systém ukládá hesla způsobem, který používá reverzibilní šifrování, což poskytuje podporu aplikačních protokolů, které vyžadují znalosti hesla uživatele pro účely ověřování. Hesla uložená s reverzibilním šifrováním jsou v podstatě stejná jako verze hesel ve formátu prostého textu. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: [Systémový přístup]ClearTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Ukládání hesel pomocí reverzibilního šifrování Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7	= 0 _(Zásady)	Kritické

Nastavení zabezpečení – Brána Windows Firewall

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Brána Windows Firewall: Doména: Povolit odpověď jednosměrového vysílání _{(AZ-WIN-00088)}	Popis: Tato možnost je užitečná, pokud potřebujete řídit, zda tento počítač přijímá jednosměrové odpovědi na odchozí zprávy vícesměrového vysílání nebo všesměrové vysílání. Pro profily privátních a domén doporučujeme toto nastavení nastavit na ano. Tím se nastaví hodnota registru na hodnotu 0. Cesta ke klíči: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Domain Profile Tab\Settings (vyberte Přizpůsobit)\Odpověď jednosměrového vysílání, Povolit odpověď jednosměrového vysílání Standardní mapování dodržování předpisů:	= 0 _(Registr)	Upozorňující
Brána Windows Firewall: Doména: Stav brány firewall _{(CCE-36062-8)}	Popis: Pokud chcete, aby brána Windows Firewall s pokročilým zabezpečením používala nastavení pro tento profil k filtrování síťového provozu, vyberte zapnuto (doporučeno). Pokud vyberete Možnost Vypnuto, brána Windows Firewall s pokročilým zabezpečením nebude pro tento profil používat žádná pravidla brány firewall ani pravidla zabezpečení připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `On (recommended)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Stav brány firewall Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.1.1	= 1 _(Registr)	Kritické
Brána Windows Firewall: Doména: Příchozí připojení _{(AZ-WIN-202252)}	Popis: Toto nastavení určuje chování příchozích připojení, která neodpovídají pravidlu příchozí brány firewall. Doporučený stav pro toto nastavení je: `Block (default)`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Příchozí připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.1.2 CIS WS2019 9.1.2	= 1 _(Registr)	Kritické
Brána Windows Firewall: Doména: Protokolování: Zahozené pakety protokolu _{(AZ-WIN-202226)}	Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením z jakéhokoli důvodu zahodí příchozí paket. Protokol zaznamenává důvod a ukončení paketu. Vyhledejte položky se slovem `DROP` ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: `Yes`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Protokolování Přizpůsobení\Vynechané pakety protokolu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.1.7 CIS WS2019 9.1.7	= 1 _(Registr)	Informační
Brána Windows Firewall: Doména: Protokolování: Protokolování úspěšných připojení _{(AZ-WIN-202227)}	Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením umožňuje příchozí připojení. Protokol zaznamenává, proč a kdy bylo připojení vytvořeno. Vyhledejte položky se slovem `ALLOW` ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: `Yes`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Protokolování Přizpůsobení\Úspěšné připojení protokolu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.1.8 CIS WS2019 9.1.8	= 1 _(Registr)	Upozorňující
Brána Windows Firewall: Doména: Protokolování: Název _{(AZ-WIN-202224)}	Popis: Tuto možnost použijte k určení cesty a názvu souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: `%SystemRoot%\System32\logfiles\firewall\domainfw.log`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Doménový profil\Logging Customize\Name Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.1.5 CIS WS2019 9.1.5	= %SystemRoot%\System32\logfiles\firewall\domainfw.log _(Registr)	Informační
Brána Windows Firewall: Doména: Protokolování: Limit velikosti (KB) _{(AZ-WIN-202225)}	Popis: Tuto možnost použijte k určení limitu velikosti souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: `16,384 KB or greater`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Protokolování Přizpůsobení\Limit velikosti (KB) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.1.6 CIS WS2019 9.1.6	>= 16384 _(Registr)	Upozorňující
Brána Windows Firewall: Doména: Odchozí připojení _{(CCE-36146-9)}	Popis: Toto nastavení určuje chování odchozích připojení, která neodpovídají pravidlu odchozí brány firewall. Ve Windows Vista je výchozím chováním povolit připojení, pokud neexistují pravidla brány firewall, která blokují připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Allow (default)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Odchozí připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.1.3	= 0 _(Registr)	Kritické
Brána Windows Firewall: Doména: Nastavení: Použití pravidel zabezpečení místního připojení _{(CCE-38040-2)}	Popis: Toto nastavení určuje, jestli mohou místní správci vytvářet pravidla místního připojení, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Domain Profile Tab\Settings (vyberte Přizpůsobit)\Slučování pravidel, Použití pravidel zabezpečení místního připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.6	= 1 _(Registr)	Kritické
Brána Windows Firewall: Doména: Nastavení: Použití místních pravidel brány firewall _{(CCE-37860-4)}	Popis: Toto nastavení určuje, jestli můžou místní správci vytvářet místní pravidla brány firewall, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Profil domény\Nastavení (vyberte Přizpůsobit)\Slučování pravidel pravidla, Použít místní pravidla brány firewall Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.5	Neexistuje nebo = 1 _(Registr)	Kritické
Brána Windows Firewall: Doména: Nastavení: Zobrazení oznámení _{(CCE-38041-0)}	Popis: Výběrem této možnosti se uživateli nezobrazí žádné oznámení, pokud je program blokován příjmem příchozích připojení. V serverovém prostředí nejsou automaticky otevírané okno užitečné, protože uživatelé nejsou přihlášení, automaticky otevírané okno není nutné a může správce zaměňovat. Nakonfigurujte toto nastavení zásad na Hodnotu Ne. Tím se nastaví hodnota registru na hodnotu 1. Brána Windows Firewall nezobrazí oznámení, pokud je program blokován příjmem příchozích připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Domain Profile\Settings Customize\Display a notification Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.1.4	= 1 _(Registr)	Upozorňující
Brána Windows Firewall: Privátní: Povolit odpověď jednosměrového vysílání _{(AZ-WIN-00089)}	Popis: Tato možnost je užitečná, pokud potřebujete řídit, zda tento počítač přijímá jednosměrové odpovědi na odchozí zprávy vícesměrového vysílání nebo všesměrové vysílání. Pro profily privátních a domén doporučujeme toto nastavení nastavit na ano. Tím se nastaví hodnota registru na hodnotu 0. Cesta ke klíči: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Privátní profil\Nastavení (vyberte Přizpůsobit)\Odpověď jednosměrového vysílání, Povolit odpověď jednosměrového vysílání Standardní mapování dodržování předpisů:	= 0 _(Registr)	Upozorňující
Brána Windows Firewall: Privátní: Stav brány firewall _{(CCE-38239-0)}	Popis: Pokud chcete, aby brána Windows Firewall s pokročilým zabezpečením používala nastavení pro tento profil k filtrování síťového provozu, vyberte zapnuto (doporučeno). Pokud vyberete Možnost Vypnuto, brána Windows Firewall s pokročilým zabezpečením nebude pro tento profil používat žádná pravidla brány firewall ani pravidla zabezpečení připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `On (recommended)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Stav brány firewall Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.2.1	= 1 _(Registr)	Kritické
Brána Windows Firewall: Privátní: Příchozí připojení _{(AZ-WIN-202228)}	Popis: Toto nastavení určuje chování příchozích připojení, která neodpovídají pravidlu příchozí brány firewall. Doporučený stav pro toto nastavení je: `Block (default)`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Privátní profil\Příchozí připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.2.2 CIS WS2019 9.2.2	= 1 _(Registr)	Kritické
Brána Windows Firewall: Privátní: Protokolování: Zahozené pakety protokolu _{(AZ-WIN-202231)}	Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením z jakéhokoli důvodu zahodí příchozí paket. Protokol zaznamenává důvod a ukončení paketu. Vyhledejte položky se slovem `DROP` ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: `Yes`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Protokolování Přizpůsobení\Vynechané pakety protokolu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.2.7 CIS WS2019 9.2.7	= 1 _(Registr)	Informační
Brána Windows Firewall: Privátní: Protokolování: Protokolování úspěšných připojení _{(AZ-WIN-202232)}	Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením umožňuje příchozí připojení. Protokol zaznamenává, proč a kdy bylo připojení vytvořeno. Vyhledejte položky se slovem `ALLOW` ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: `Yes`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Protokolování Přizpůsobení\Úspěšné připojení protokolu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.2.8 CIS WS2019 9.2.8	= 1 _(Registr)	Upozorňující
Brána Windows Firewall: Privátní: Protokolování: Název _{(AZ-WIN-202229)}	Popis: Tuto možnost použijte k určení cesty a názvu souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: `%SystemRoot%\System32\logfiles\firewall\privatefw.log`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Logging Customize\Name Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.2.5 CIS WS2019 9.2.5	= %SystemRoot%\System32\logfiles\firewall\privatefw.log _(Registr)	Informační
Brána Windows Firewall: Privátní: Protokolování: Limit velikosti (KB) _{(AZ-WIN-202230)}	Popis: Tuto možnost použijte k určení limitu velikosti souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: `16,384 KB or greater`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Logging Customize\Size limit (KB) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.2.6 CIS WS2019 9.2.6	>= 16384 _(Registr)	Upozorňující
Brána Windows Firewall: Privátní: Odchozí připojení _{(CCE-38332-3)}	Popis: Toto nastavení určuje chování odchozích připojení, která neodpovídají pravidlu odchozí brány firewall. Výchozí chování je povolit připojení, pokud neexistují pravidla brány firewall, která blokují připojení. Důležité: Pokud nastavíte odchozí připojení na Blokovat a pak nasadíte zásadu brány firewall pomocí objektu zásad skupiny, počítače, které obdrží nastavení objektu zásad skupiny, nemůžou přijímat další aktualizace zásad skupiny, pokud nevytváříte a nasadíte odchozí pravidlo, které umožňuje fungování zásad skupiny. Předdefinovaná pravidla pro základní sítě zahrnují odchozí pravidla, která umožňují fungování zásad skupiny. Před nasazením se ujistěte, že jsou tato odchozí pravidla aktivní, a důkladně otestujte profily brány firewall. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Allow (default)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Privátní profil\Odchozí připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.2.3	= 0 _(Registr)	Kritické
Brána Windows Firewall: Privátní: Nastavení: Použití pravidel zabezpečení místního připojení _{(CCE-36063-6)}	Popis: Toto nastavení určuje, jestli mohou místní správci vytvářet pravidla místního připojení, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Privátní profil\Nastavení (vyberte Přizpůsobit)\Slučování pravidel, Použít pravidla zabezpečení místního připojení Standardní mapování dodržování předpisů:	= 1 _(Registr)	Kritické
Brána Windows Firewall: Privátní: Nastavení: Použití místních pravidel brány firewall _{(CCE-37438-9)}	Popis: Toto nastavení určuje, jestli můžou místní správci vytvářet místní pravidla brány firewall, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Privátní profil\Nastavení (vyberte Přizpůsobit)\Slučování pravidel, Použití místních pravidel brány firewall Standardní mapování dodržování předpisů:	Neexistuje nebo = 1 _(Registr)	Kritické
Brána Windows Firewall: Privátní: Nastavení: Zobrazení oznámení _{(CCE-37621-0)}	Popis: Výběrem této možnosti se uživateli nezobrazí žádné oznámení, pokud je program blokován příjmem příchozích připojení. V serverovém prostředí nejsou automaticky otevírané okno užitečné, protože uživatelé nejsou přihlášení, automaticky otevírané okno není nutné a může správce zaměňovat. Nakonfigurujte toto nastavení zásad na Hodnotu Ne. Tím se nastaví hodnota registru na hodnotu 1. Brána Windows Firewall nezobrazí oznámení, pokud je program blokován příjmem příchozích připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Private Profile\Settings Customize\Display a notification Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.2.4	= 1 _(Registr)	Upozorňující
Brána Windows Firewall: Veřejná: Povolit odpověď jednosměrového vysílání _{(AZ-WIN-00090)}	Popis: Tato možnost je užitečná, pokud potřebujete řídit, zda tento počítač přijímá jednosměrové odpovědi na odchozí zprávy vícesměrového vysílání nebo všesměrové vysílání. To lze provést změnou stavu tohoto nastavení na Ne. Tím se nastaví hodnota registru na hodnotu 1. Cesta ke klíči: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Veřejného profilu\Nastavení (vyberte Přizpůsobit)\Odpověď jednosměrového vysílání, Povolit odpověď jednosměrového vysílání Standardní mapování dodržování předpisů:	= 1 _(Registr)	Upozorňující
Brána Windows Firewall: Veřejný: Stav brány firewall _{(CCE-37862-0)}	Popis: Pokud chcete, aby brána Windows Firewall s pokročilým zabezpečením používala nastavení pro tento profil k filtrování síťového provozu, vyberte zapnuto (doporučeno). Pokud vyberete Možnost Vypnuto, brána Windows Firewall s pokročilým zabezpečením nebude pro tento profil používat žádná pravidla brány firewall ani pravidla zabezpečení připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `On (recommended)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Stav brány firewall Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.1	= 1 _(Registr)	Kritické
Brána Windows Firewall: Veřejná: Příchozí připojení _{(AZ-WIN-202234)}	Popis: Toto nastavení určuje chování příchozích připojení, která neodpovídají pravidlu příchozí brány firewall. Doporučený stav pro toto nastavení je: `Block (default)`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Příchozí připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.3.2 CIS WS2019 9.3.2	= 1 _(Registr)	Kritické
Brána Windows Firewall: Veřejné: Protokolování: Zahozené pakety protokolu _{(AZ-WIN-202237)}	Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením z jakéhokoli důvodu zahodí příchozí paket. Protokol zaznamenává důvod a ukončení paketu. Vyhledejte položky se slovem `DROP` ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: `Yes`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Protokolování Přizpůsobení\Vynechané pakety protokolu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.3.9 CIS WS2019 9.3.9	= 1 _(Registr)	Informační
Brána Windows Firewall: Veřejné: Protokolování: Protokolování: Protokolování úspěšných připojení _{(AZ-WIN-202233)}	Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením umožňuje příchozí připojení. Protokol zaznamenává, proč a kdy bylo připojení vytvořeno. Vyhledejte položky se slovem `ALLOW` ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: `Yes`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Protokolování Přizpůsobení\Úspěšné připojení protokolu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.3.10 CIS WS2019 9.3.10	= 1 _(Registr)	Upozorňující
Brána Windows Firewall: Veřejné: Protokolování: Název _{(AZ-WIN-202235)}	Popis: Tuto možnost použijte k určení cesty a názvu souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: `%SystemRoot%\System32\logfiles\firewall\publicfw.log`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Logging Customize\Name Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.3.7 CIS WS2019 9.3.7	= %SystemRoot%\System32\logfiles\firewall\publicfw.log _(Registr)	Informační
Brána Windows Firewall: Veřejné: Protokolování: Limit velikosti (KB) _{(AZ-WIN-202236)}	Popis: Tuto možnost použijte k určení limitu velikosti souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: `16,384 KB or greater`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Protokolování Přizpůsobení\Omezení velikosti (KB) Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 9.3.8 CIS WS2019 9.3.8	>= 16384 _(Registr)	Informační
Brána Windows Firewall: Veřejná: Odchozí připojení _{(CCE-37434-8)}	Popis: Toto nastavení určuje chování odchozích připojení, která neodpovídají pravidlu odchozí brány firewall. Výchozí chování je povolit připojení, pokud neexistují pravidla brány firewall, která blokují připojení. Důležité: Pokud nastavíte odchozí připojení na Blokovat a pak nasadíte zásadu brány firewall pomocí objektu zásad skupiny, počítače, které obdrží nastavení objektu zásad skupiny, nemůžou přijímat další aktualizace zásad skupiny, pokud nevytváříte a nasadíte odchozí pravidlo, které umožňuje fungování zásad skupiny. Předdefinovaná pravidla pro základní sítě zahrnují odchozí pravidla, která umožňují fungování zásad skupiny. Před nasazením se ujistěte, že jsou tato odchozí pravidla aktivní, a důkladně otestujte profily brány firewall. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Allow (default)`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Odchozí připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.3	= 0 _(Registr)	Kritické
Brána Windows Firewall: Veřejné: Nastavení: Použití pravidel zabezpečení místního připojení _{(CCE-36268-1)}	Popis: Toto nastavení určuje, jestli mohou místní správci vytvářet pravidla místního připojení, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Přizpůsobení\Použití pravidel zabezpečení místního připojení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.6	= 1 _(Registr)	Kritické
Brána Windows Firewall: Veřejné: Nastavení: Použití místních pravidel brány firewall _{(CCE-37861-2)}	Popis: Toto nastavení určuje, jestli můžou místní správci vytvářet místní pravidla brány firewall, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Přizpůsobení\Použití místních pravidel brány firewall Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.5	Neexistuje nebo = 1 _(Registr)	Kritické
Brána Windows Firewall: Veřejné: Nastavení: Zobrazení oznámení _{(CCE-38043-6)}	Popis: Výběrem této možnosti se uživateli nezobrazí žádné oznámení, pokud je program blokován příjmem příchozích připojení. V serverovém prostředí nejsou automaticky otevírané okno užitečné, protože uživatelé nejsou přihlášení, automaticky otevírané okno není nutné a může správce zaměňovat. Nakonfigurujte toto nastavení zásad na Hodnotu Ne. Tím se nastaví hodnota registru na hodnotu 1. Brána Windows Firewall nezobrazí oznámení, pokud je program blokován příjmem příchozích připojení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Nastavení Přizpůsobení\Zobrazení oznámení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 9.3.4	= 1 _(Registr)	Upozorňující

Zásady auditu systému – Přihlášení k účtu

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat ověřování pověření _{(CCE-37741-6)}	Popis: Tato podkategorie hlásí výsledky ověřovacích testů na přihlašovacích údajích odeslaných pro žádost o přihlášení k uživatelskému účtu. K těmto událostem dochází v počítači, který je autoritativní pro přihlašovací údaje. U účtů domény je řadič domény autoritativní, zatímco pro místní účty je místní počítač autoritativní. V doménových prostředích dochází k většině událostí přihlášení k účtu v protokolu zabezpečení řadičů domény, které jsou autoritativní pro účty domény. Tyto události ale můžou nastat v jiných počítačích v organizaci, když se k přihlášení používají místní účty. Události pro tuto podkategorii zahrnují: - 4774: Účet byl namapován pro přihlášení. - 4775: Účet nelze namapovat pro přihlášení. - 4776: Řadič domény se pokusil ověřit přihlašovací údaje pro účet. - 4777: Řadič domény se nepodařilo ověřit přihlašovací údaje pro účet. Doporučený stav pro toto nastavení je: Úspěch a selhání. Cesta ke klíči: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení účtu\Audit ověření přihlašovacích údajů Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1	= Úspěch a selhání _(Audit)	Kritické
Auditovat ověřovací službu protokolu Kerberos _{(AZ-WIN-00004)}	Popis: Tato podkategorie hlásí výsledky událostí vygenerovaných po požadavku TGT ověřování kerberos. Kerberos je distribuovaná ověřovací služba, která umožňuje klientovi spuštěným jménem uživatele prokázat svou identitu serveru bez odesílání dat přes síť. To pomáhá zmírnit útočníka nebo server zosobnění uživatele. - 4768: Byl požadován lístek ověřování Kerberos (TGT). – 4771: Předběžné ověřování protokolu Kerberos se nezdařilo. – 4772: Žádost o lístek ověřování Kerberos se nezdařila. Doporučený stav pro toto nastavení je: `Success and Failure`. Cesta klíče: {0CCE9242-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Přihlášení účtu\Audit ověřovací služby Kerberos Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.1.2 CIS WS2019 17.1.2	>= Úspěch a selhání _(Audit)	Kritické

Zásady auditu systému – Správa účtů

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat správu skupin distribuce _{(CCE-36265-7)}	Popis: Tato podkategorie hlásí každou událost správy distribuční skupiny, například při vytvoření, změně nebo odstranění distribuční skupiny nebo při přidání nebo odebrání člena z distribuční skupiny. Pokud povolíte toto nastavení zásad auditu, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření skupinových účtů. Události pro tuto podkategorii zahrnují: - 4744: Byla vytvořena místní skupina zakázaná zabezpečením. - 4745: Místní skupina zakázaná zabezpečení se změnila. - 4746: Člen byl přidán do místní skupiny se zakázaným zabezpečením. - 4747: Člen byl odebrán z místní skupiny se zakázaným zabezpečením. - 4748: Místní skupina zakázaná zabezpečení byla odstraněna. - 4749: Byla vytvořena globální skupina zakázaná zabezpečením. - 4750: Globální skupina zakázaná zabezpečení se změnila. - 4751: Člen byl přidán do globální skupiny se zakázaným zabezpečením. - 4752: Člen byl odebrán z globální skupiny zakázané zabezpečení. - 4753: Byla odstraněna globální skupina zakázaná zabezpečením. - 4759: Byla vytvořena univerzální skupina zakázaná zabezpečením. - 4760: Byla změněna univerzální skupina zakázaná zabezpečením. - 4761: Člen byl přidán do univerzální skupiny se zakázaným zabezpečením. - 4762: Člen byl odebrán z univerzální skupiny se zakázaným zabezpečením. - 4763: Byla odstraněna univerzální skupina se zakázaným zabezpečením. Doporučeným stavem tohoto nastavení je: `Success`. Cesta ke klíči: {0CCE9238-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Správa účtů\Správa distribuční skupiny auditování Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.2.3 CIS WS2019 17.2.3	>= Úspěch _(Audit)	Kritické
Auditovat jiné události správy účtu _{(CCE-37855-4)}	Popis: Tato podkategorie hlásí další události správy účtů. Události pro tuto podkategorii zahrnují: — 4782: Hodnota hash hesla, ke které byl účet přistupovat. — 4793: Bylo volána rozhraní API pro kontrolu zásad hesel. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Správa účtů\Auditovat další události správy účtů Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.2.4	>= Úspěch _(Audit)	Kritické
Auditovat správu skupiny zabezpečení _{(CCE-38034-5)}	Popis: Tato podkategorie hlásí každou událost správy skupin zabezpečení, například při vytvoření, změně nebo odstranění skupiny zabezpečení nebo při přidání nebo odebrání člena ze skupiny zabezpečení. Pokud povolíte toto nastavení zásad auditu, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření účtů skupin zabezpečení. Události pro tuto podkategorii zahrnují: - 4727: Byla vytvořena globální skupina s povoleným zabezpečením. - 4728: Člen byl přidán do globální skupiny s podporou zabezpečení. - 4729: Člen byl odebrán z globální skupiny s povoleným zabezpečením. - 4730: Byla odstraněna globální skupina s podporou zabezpečení. - 4731: Byla vytvořena místní skupina s povoleným zabezpečením. - 4732: Člen byl přidán do místní skupiny s povoleným zabezpečením. - 4733: Člen byl odebrán z místní skupiny s povoleným zabezpečením. - 4734: Byla odstraněna místní skupina s povoleným zabezpečením. - 4735: Místní skupina s povoleným zabezpečením byla změněna. - 4737: Globální skupina s podporou zabezpečení byla změněna. - 4754: Byla vytvořena univerzální skupina s podporou zabezpečení. - 4755: Byla změněna univerzální skupina s podporou zabezpečení. - 4756: Člen byl přidán do univerzální skupiny s podporou zabezpečení. - 4757: Člen byl odebrán z univerzální skupiny s podporou zabezpečení. - 4758: Byla odstraněna univerzální skupina s podporou zabezpečení. - 4764: Typ skupiny byl změněn. Doporučený stav pro toto nastavení je: `Success and Failure`. Cesta klíče: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Správa účtů\Správa skupin zabezpečení auditování Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.2.5	>= Úspěch _(Audit)	Kritické
Auditovat správu účtů uživatelů _{(CCE-37856-2)}	Popis: Tato podkategorie hlásí každou událost správy uživatelských účtů, například při vytvoření, změně nebo odstranění uživatelského účtu, přejmenování, zakázání nebo povolení uživatelského účtu nebo nastavení nebo změna hesla. Pokud povolíte toto nastavení zásad auditu, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření uživatelských účtů. Události pro tuto podkategorii zahrnují: - 4720: Byl vytvořen uživatelský účet. - 4722: Byl povolen uživatelský účet. - 4723: Došlo k pokusu o změnu hesla účtu. - 4724: Došlo k pokusu o resetování hesla účtu. - 4725: Uživatelský účet byl zakázán. - 4726: Byl odstraněn uživatelský účet. - 4738: Uživatelský účet byl změněn. - 4740: Uživatelský účet byl uzamčen. - 4765: Historie identifikátorů SID byla přidána do účtu. - 4766: Pokus o přidání historie identifikátorů SID do účtu se nezdařil. - 4767: Uživatelský účet byl odemknut. - 4780: Seznam ACL byl nastaven na účty, které jsou členy skupin správců. - 4781: Název účtu byl změněn: - 4794: Došlo k pokusu o nastavení režimu obnovení adresářových služeb. - 5376: Přihlašovací údaje správce přihlašovacích údajů byly zálohovány. - 5377: Přihlašovací údaje Správce přihlašovacích údajů byly obnoveny ze zálohy. Doporučený stav pro toto nastavení je: `Success and Failure`. Cesta ke klíči: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Správa účtů\Audit správy uživatelských účtů Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6	= Úspěch a selhání _(Audit)	Kritické

Zásady auditu systému – podrobné sledování

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditování aktivity PNP _{(AZ-WIN-00182)}	Popis: Toto nastavení zásad umožňuje auditovat, když modul plug and play detekuje externí zařízení. Doporučený stav pro toto nastavení je: `Success`. Poznámka: Pro přístup a nastavení této hodnoty v zásadách skupiny se vyžaduje operační systém Windows 10, Server 2016 nebo vyšší. Cesta klíče: {0CCE9248-69AE-11D9-BED3-505054503030} Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Audit: Vynucení nastavení podkategorie zásad auditu (Windows Vista nebo novější) pro přepsání nastavení kategorií zásad auditu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.3.1 CIS WS2022 17.3.1	>= Úspěch _(Audit)	Kritické
Auditovat vytvoření procesu _{(CCE-36059-4)}	Popis: Tato podkategorie hlásí vytvoření procesu a název programu nebo uživatele, který ho vytvořil. Události pro tuto podkategorii zahrnují: - 4688: Byl vytvořen nový proces. – 4696: Proces byl přiřazen primární token. Nejnovější informace o tomto nastavení najdete v článku znalostní báze Microsoft Knowledge Base 947226. Doporučený stav pro toto nastavení je: `Success`. Cesta ke klíči: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Podrobné sledování\Vytvoření procesu auditování Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2	>= Úspěch _(Audit)	Kritické

Zásady auditu systému – Přístup k ds

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat přístup k adresářové službě _{(CCE-37433-0)}	Popis: Tato podkategorie sestavy při přístupu k objektu AD DS. Generování událostí auditu způsobují pouze objekty s seznamy SACLs, a to pouze v případě, že se k nim přistupuje způsobem, který odpovídá jejich SACL. Tyto události jsou podobné událostem přístupu k adresářové službě v předchozích verzích Windows Serveru. Tato podkategorie se vztahuje pouze na řadiče domény. Události pro tuto podkategorii zahrnují: - 4662: Operace byla provedena u objektu. Doporučeným stavem tohoto nastavení je: `Failure`. Cesta ke klíči: {0CCE923B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Přístup k adresářové službě DS\Audit Directory Service Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.4.1 CIS WS2019 17.4.1	>= Selhání _(Audit)	Kritické
Auditovat změny adresářové služby _{(CCE-37616-0)}	Popis: Tato podkategorie hlásí změny objektů ve službě Doména služby Active Directory Services (AD DS). Typy ohlášených změn jsou operace vytvoření, úpravy, přesunutí a odstranění, které se provádějí u objektu. Auditování změn DS tam, kde je to vhodné, označuje staré a nové hodnoty změněných vlastností objektů, které byly změněny. Generování událostí auditu způsobují pouze objekty s seznamy SACLs, a to pouze v případě, že se k nim přistupuje způsobem, který odpovídá jejich SACL. Některé objekty a vlastnosti nezpůsobí generování událostí auditu z důvodu nastavení třídy objektu ve schématu. Tato podkategorie se vztahuje pouze na řadiče domény. Události pro tuto podkategorii zahrnují: - 5136: Objekt adresářové služby byl změněn. - 5137: Byl vytvořen objekt adresářové služby. - 5138 : Objekt adresářové služby nebyl zrušen. - 5139: Objekt adresářové služby byl přesunut. Doporučeným stavem tohoto nastavení je: `Success`. Cesta klíče: {0CCE923C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup DS\Audit změn adresářové služby Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.4.2 CIS WS2019 17.4.2	>= Úspěch _(Audit)	Kritické
Auditovat replikaci adresářové služby _{(AZ-WIN-00093)}	Popis: Tato podkategorie hlásí, když začne a končí replikace mezi dvěma řadiči domény. Mezi události této podkategorie patří: - 4932: Synchronizace repliky kontextu pojmenování služby Active Directory začala. – 4933: Synchronizace repliky kontextu pojmenování služby Active Directory skončila. Nejnovější informace o tomto nastavení najdete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: http:--support.microsoft.com-default.aspx-kb-947226 Cesta ke klíči: {0CCE923D-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup DS\Audit Replikace adresářové služby Standardní mapování dodržování předpisů:	>= Bez auditování _(Audit)	Kritické

Zásady auditu systému – Přihlášení – Odhlášení

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat uzamčení účtu _{(CCE-37133-6)}	Popis: Tato podkategorie hlásí, když je účet uživatele uzamčen v důsledku příliš mnoha neúspěšných pokusů o přihlášení. Události pro tuto podkategorii zahrnují: — 4625: Účet se nepodařilo přihlásit. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta klíče: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logff\AuditOvat uzamčení účtu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.5.1	>= Selhání _(Audit)	Kritické
Auditovat členství ve skupině _{(AZ-WIN-00026)}	Popis: Auditování členství ve skupině umožňuje auditovat členství ve skupinách při jejich vytváření v klientském počítači. Tato zásada umožňuje auditovat informace o členství ve skupině v přihlašovacím tokenu uživatele. Události v této podkategorii se generují v počítači, na kterém je vytvořena přihlašovací relace. Pro interaktivní přihlášení se vygeneruje událost auditu zabezpečení v počítači, ke kterému se uživatel přihlásil. Pro přihlášení k síti, jako je například přístup ke sdílené složce v síti, se vygeneruje událost auditu zabezpečení v počítači, který je hostitelem prostředku. Musíte také povolit podkategorii auditování přihlášení. Pokud se informace o členství ve skupině nevejdou do jedné události auditu zabezpečení, vygeneruje se více událostí. Mezi auditované události patří: - 4627(S): Informace o členství ve skupině. Cesta ke klíči: {0CCE9249-69AE-11D9-BED3-505054503030} Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\Audit členství ve skupině Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.5.2	>= Úspěch _(Audit)	Kritické
Auditovat odhlášení _{(CCE-38237-4)}	Popis: Tato podkategorie hlásí, když se uživatel odhlásí ze systému. K těmto událostem dochází na přístupovém počítači. U interaktivních přihlášení dojde k generování těchto událostí v počítači, ke kterému je přihlášen. Pokud se pro přístup ke sdílené složce provede přihlášení k síti, vygenerují se tyto události v počítači, který je hostitelem přístupového prostředku. Pokud toto nastavení nakonfigurujete na žádné auditování, je obtížné nebo nemožné určit, ke kterému uživateli došlo nebo se pokusil o přístup k počítačům organizace. Události pro tuto podkategorii zahrnují: - 4634: Účet byl odhlášený. - 4647: Přihlášení iniciované uživatelem. Doporučený stav pro toto nastavení je: Úspěch. Cesta ke klíči: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\Audit Logoff Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3	>= Úspěch _(Audit)	Kritické
Auditovat přihlášení _{(CCE-38036-0)}	Popis: Tato podkategorie hlásí, když se uživatel pokusí přihlásit k systému. K těmto událostem dochází na přístupovém počítači. U interaktivních přihlášení dojde k generování těchto událostí v počítači, ke kterému je přihlášen. Pokud se pro přístup ke sdílené složce provede přihlášení k síti, vygenerují se tyto události v počítači, který je hostitelem přístupového prostředku. Pokud toto nastavení nakonfigurujete na žádné auditování, je obtížné nebo nemožné určit, ke kterému uživateli došlo nebo se pokusil o přístup k počítačům organizace. Události pro tuto podkategorii zahrnují: - 4624: Účet byl úspěšně přihlášen. - 4625: Účet se nepodařilo přihlásit. - 4648: Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů. - 4675: Identifikátory SID byly filtrovány. Doporučený stav pro toto nastavení je: Úspěch a selhání. Cesta ke klíči: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logff\Audit Logon Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4	= Úspěch a selhání _(Audit)	Kritické
Auditovat další události přihlášení nebo odhlášení _{(CCE-36322-6)}	Popis: Tato podkategorie hlásí další události související s přihlášením nebo logffem, jako je například relace terminálové služby, odpojí a znovu připojí, pomocí RunAs spustí procesy pod jiným účtem a uzamkne a odemkne pracovní stanici. Události pro tuto podkategorii zahrnují: — 4649: Byl zjištěn útok přehrání. — 4778: Relace byla znovu připojena k stanici okna. — 4779: Relace byla odpojena od stanice Windows. — 4800: Pracovní stanice byla uzamčena. — 4801: Pracovní stanice byla odemknutá. — 4802: Spořič obrazovky byl vyvolán. — 4803: Spořič obrazovky byl zamítnut. — 5378: Požadovaná delegování přihlašovacích údajů byla zakázána zásadami. — 5632: Byla provedena žádost o ověření v bezdrátové síti. — 5633: Byla provedena žádost o ověření v kabelové síti. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\Auditovat další události přihlášení/odhlášení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.5.5	= Úspěch a selhání _(Audit)	Kritické
Auditovat zvláštní přihlášení _{(CCE-36266-5)}	Popis: Tato podkategorie hlásí, když se použije speciální přihlášení. Speciální přihlášení je přihlášení, které má oprávnění ekvivalentní správci a lze ho použít ke zvýšení úrovně procesu na vyšší úroveň. Události pro tuto podkategorii zahrnují: - 4964: Zvláštní skupiny byly přiřazeny k novému přihlášení. Doporučený stav pro toto nastavení je: `Success`. Cesta klíče: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\AuditOvat zvláštní přihlášení Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6	>= Úspěch _(Audit)	Kritické

Zásady auditu systému – Přístup k objektům

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat podrobnou sdílenou složku _{(AZ-WIN-00100)}	Popis: Tato podkategorie umožňuje auditovat pokusy o přístup k souborům a složkám ve sdílené složce. Události pro tuto podkategorii zahrnují: - 5145: objekt sdílené síťové složky byl zkontrolován, abyste zjistili, zda lze klientovi udělit požadovaný přístup. Doporučeným stavem tohoto nastavení je zahrnout: `Failure` Cesta klíče: {0CCE9244-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Auditovat podrobnou sdílenou složku Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.6.1 CIS WS2019 17.6.1	>= Selhání _(Audit)	Kritické
Auditovat sdílenou složku _{(AZ-WIN-00102)}	Popis: Toto nastavení zásad umožňuje auditovat pokusy o přístup ke sdílené složce. Doporučený stav pro toto nastavení je: `Success and Failure`. Poznámka: Pro sdílené složky neexistují žádné seznamy řízení přístupu (SACLs) systému. Pokud je toto nastavení zásad povolené, je auditován přístup ke všem sdíleným složkám v systému. Cesta ke klíči: {0CCE9224-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit sdílené složky Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.6.2 CIS WS2019 17.6.2	= Úspěch a selhání _(Audit)	Kritické
Auditovat jiné události přístupu k objektu _{(AZ-WIN-00113)}	Popis: Tato podkategorie hlásí další události související s přístupem k objektům, jako jsou úlohy plánovače úloh a objekty MODELU COM+. Události pro tuto podkategorii zahrnují: — 4671: Aplikace se pokusila získat přístup k blokované řadové sadě prostřednictvím tbS. — 4691: Byl požadován nepřímý přístup k objektu. — 4698: Byl vytvořen naplánovaný úkol. — 4699: Byl odstraněn naplánovaný úkol. — 4700: Byl povolen naplánovaný úkol. — 4701: Naplánovaný úkol byl zakázán. — 4702: Byl aktualizován naplánovaný úkol. — 5888: Objekt v katalogu COM+ byl změněn. — 5889: Objekt byl odstraněn z katalogu COM+. — 5890: Objekt byl přidán do katalogu COM+. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Auditovat další události přístupu k objektům Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.6.3	= Úspěch a selhání _(Audit)	Kritické
Auditovat vyměnitelné úložiště _{(CCE-37617-8)}	Popis: Toto nastavení zásad umožňuje auditovat pokusy uživatelů o přístup k objektům systému souborů na vyměnitelném úložném zařízení. Událost auditu zabezpečení se generuje pouze pro všechny objekty pro všechny typy požadovaných přístupů. Pokud toto nastavení zásad nakonfigurujete, vygeneruje se událost auditu pokaždé, když účet přistupuje k objektu systému souborů v vyměnitelném úložišti. Úspěšné audity zaznamenávají úspěšné pokusy a neúspěšné pokusy o auditování záznamů. Pokud toto nastavení zásad nenakonfigurujete, nevygeneruje se žádná událost auditu, když účet přistupuje k objektu systému souborů v vyměnitelném úložišti. Doporučený stav pro toto nastavení je: `Success and Failure`. Poznámka: Pro přístup a nastavení této hodnoty v zásadách skupiny se vyžaduje operační systém Windows 8, Server 2012 (jiný než R2) nebo novější. Cesta klíče: {0CCE9245-69AE-11D9-BED3-505054503030} OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit vyměnitelného úložiště Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4	= Úspěch a selhání _(Audit)	Kritické

Zásady auditu systému – Změna zásad

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat změnu zásad ověřování _{(CCE-38327-3)}	Popis: Tato podkategorie hlásí změny v zásadách ověřování. Události pro tuto podkategorii zahrnují: — 4706: Byl vytvořen nový vztah důvěryhodnosti pro doménu. — 4707: Byl odebrán vztah důvěryhodnosti k doméně. — 4713: Došlo ke změně zásad protokolu Kerberos. — 4716: Informace o důvěryhodné doméně byly změněny. — 4717: Přístup k zabezpečení systému byl udělen účtu. — 4718: Přístup k zabezpečení systému byl odebrán z účtu. — 4739: Zásady domény byly změněny. — 4864: Byla zjištěna kolize oboru názvů. — 4865: Byla přidána položka informací o důvěryhodné doménové struktuře. — 4866: Byla odebrána položka informací o důvěryhodné doménové struktuře. — 4867: Byla změněna položka informací o důvěryhodné doménové struktuře. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta klíče: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Změna zásad auditu\Změna zásad ověřování auditování Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.7.2	>= Úspěch _(Audit)	Kritické
Auditovat změnu zásad autorizace _{(CCE-36320-0)}	Popis: Tato podkategorie hlásí změny v zásadách autorizace. Události pro tuto podkategorii zahrnují: - 4704: Bylo přiřazeno právo uživatele. - 4705: Byla odebrána práva uživatele. - 4706: Pro doménu byl vytvořen nový vztah důvěryhodnosti. - 4707: Byl odebrán vztah důvěryhodnosti k doméně. - 4714: Byly změněny zásady obnovení šifrovaných dat. Doporučeným stavem tohoto nastavení je: `Success`. Cesta ke klíči: {0CCE9231-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Změna zásad autorizace auditování\Změna zásad autorizace auditování Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.7.3 CIS WS2019 17.7.3	>= Úspěch _(Audit)	Kritické
Auditovat změnu zásad úrovně pravidla MPSSVC _{(AZ-WIN-00111)}	Popis: Tato podkategorie hlásí změny v pravidlech zásad používaných službou Microsoft Protection Service (MPSSVC.exe). Tuto službu používá brána Windows Firewall a Microsoft OneCare. Mezi události pro tuto podkategorii patří: — 4944: Při spuštění brány Windows Firewall byla aktivní následující zásada. — 4945: Pravidlo bylo uvedeno při spuštění brány Windows Firewall. — 4946: V seznamu výjimek brány Windows Firewall byla provedena změna. Bylo přidáno pravidlo. — 4947: V seznamu výjimek brány Windows Firewall byla provedena změna. Pravidlo bylo změněno. — 4948: V seznamu výjimek brány Windows Firewall byla provedena změna. Pravidlo bylo odstraněno. — 4949: Nastavení brány Windows Firewall bylo obnoveno na výchozí hodnoty. — 4950: Nastavení brány Windows Firewall se změnilo. — 4951: Pravidlo bylo ignorováno, protože brána Windows Firewall nerozpoznala jeho hlavní číslo verze. — 4952: Části pravidla byly ignorovány, protože brána Windows Firewall nerozpoznala číslo podverze. Ostatní části pravidla se vynutí. — 4953: Brána Windows Firewall ignorovala pravidlo, protože pravidlo nebylo možné analyzovat. — 4954: Nastavení zásad skupiny brány Windows Firewall se změnilo. Použili jsme nová nastavení. — 4956: Brána Windows Firewall změnila aktivní profil. — 4957: Brána Windows Firewall nepoužila následující pravidlo: — 4958: Brána Windows Firewall nepoužila následující pravidlo, protože pravidlo odkazované na položky nenakonfigurované v tomto počítači: Přečtěte si článek znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008 pro nejnovější informace o tomto nastavení: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta klíče: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Změna zásad\Audit zásad na úrovni pravidel MPSSVC Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.7.4	= Úspěch a selhání _(Audit)	Kritické
Auditovat jiné události změny zásad _{(AZ-WIN-00114)}	Popis: Tato podkategorie obsahuje události týkající se změn zásad agenta obnovení dat EFS, změny ve filtru platformy Filtrování systému Windows, stav aktualizací nastavení zásad zabezpečení pro místní nastavení zásad skupiny, změny zásad centrálního přístupu a podrobné události řešení potíží s operacemi kryptografické další generace (CNG). - 5063: Došlo k pokusu o operaci kryptografického zprostředkovatele. - 5064: Došlo k pokusu o operaci kryptografického kontextu. - 5065: Došlo k pokusu o změnu kryptografického kontextu. - 5066: Došlo k pokusu o operaci kryptografické funkce. - 5067: Došlo k pokusu o úpravu kryptografické funkce. - 5068: Došlo k pokusu o operaci zprostředkovatele kryptografických funkcí. - 5069: Došlo k pokusu o operaci vlastnosti kryptografické funkce. - 5070: Došlo k pokusu o změnu vlastnosti kryptografické funkce. - 6145: Při zpracování zásad zabezpečení v objektech zásad skupiny došlo k jedné nebo více chybám. Doporučeným stavem tohoto nastavení je: `Failure`. Cesta ke klíči: {0CCE9234-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Změna zásad\Auditovat jiné události změn zásad Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.7.5 CIS WS2019 17.7.5	>= Selhání _(Audit)	Kritické
Změna zásad auditu _{(CCE-38028-7)}	Popis: Tato podkategorie hlásí změny v zásadách auditu, včetně změn SACL. Události pro tuto podkategorii zahrnují: — 4715: Zásady auditu (SACL) u objektu byly změněny. — 4719: Zásady auditu systému byly změněny. — 4902: Byla vytvořena tabulka zásad auditu pro jednotlivé uživatele. — 4904: Došlo k pokusu o registraci zdroje událostí zabezpečení. — 4905: Došlo k pokusu o zrušení registrace zdroje událostí zabezpečení. — 4906: Hodnota CrashOnAuditFail se změnila. — 4907: Nastavení auditování objektu bylo změněno. — 4908: Změněna tabulka Pro přihlášení ke speciálním skupinám. — 4912: Zásady auditu jednotlivých uživatelů byly změněny. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Změna zásad auditu\Auditovat změnu zásad auditu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.7.1	>= Úspěch _(Audit)	Kritické

Zásady auditu systému – Použití oprávnění

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat použití citlivých oprávnění _{(CCE-36267-3)}	Popis: Tato podkategorie hlásí, když uživatelský účet nebo služba používá citlivé oprávnění. Citlivá oprávnění zahrnují následující uživatelská práva: Jednat jako součást operačního systému, záložních souborů a adresářů, vytvořit objekt tokenu, Ladicí programy, Povolit, aby byly uživatelské účty důvěryhodné pro delegování, Generovat audity zabezpečení, zosobnit klienta po ověření, Načíst a uvolnit ovladače zařízení, Spravovat auditování a protokol zabezpečení, Upravit hodnoty prostředí firmwaru, Nahraďte token na úrovni procesu, obnovte soubory a adresáře a převezmejte vlastnictví souborů nebo jiných objektů. Auditování této podkategorie vytvoří velký objem událostí. Události pro tuto podkategorii zahrnují: — 4672: Zvláštní oprávnění přiřazená k novému přihlášení. — 4673: Byla volána privilegovaná služba. — 4674: Došlo k pokusu o operaci u privilegovaného objektu. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Success and Failure`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Použití oprávnění\Auditovat citlivé oprávnění Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.8.1	= Úspěch a selhání _(Audit)	Kritické

Zásady auditu systému – Systém

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Auditovat ovladač IPsec _{(CCE-37853-9)}	Popis: Tato podkategorie hlásí aktivity ovladače IPsec (Internet Protocol Security). Události pro tuto podkategorii zahrnují: - 4960: Protokol IPsec zahodil příchozí paket, který selhal při kontrole integrity. Pokud tento problém přetrvává, může to znamenat problém se sítí nebo že se pakety upravují při přenosu do tohoto počítače. Ověřte, že pakety odeslané ze vzdáleného počítače jsou stejné jako pakety přijaté tímto počítačem. Tato chyba může také znamenat problémy s interoperabilitou s jinými implementacemi protokolu IPsec. - 4961: Protokol IPsec zahodil příchozí paket, který selhal při kontrole přehrávání. Pokud tento problém přetrvává, může to znamenat útok na přehrání proti tomuto počítači. - 4962: Protokol IPsec zahodil příchozí paket, který selhal při kontrole přehrání. Příchozí paket měl příliš nízké pořadové číslo, aby se zajistilo, že se nepřehrává. - 4963: Protokol IPsec zahodil příchozí nesmazatelný textový paket, který by měl být zabezpečený. Důvodem je obvykle změna zásad protokolu IPsec vzdáleného počítače bez informování tohoto počítače. Může to být také pokus o falšování identity útoku. - 4965: Protokol IPsec přijal paket ze vzdáleného počítače s nesprávným indexem parametrů zabezpečení (SPI). Příčinou je obvykle selhání hardwaru, který způsobuje poškození paketů. Pokud tyto chyby potrvají, ověřte, zda jsou pakety odeslané ze vzdáleného počítače stejné jako pakety přijaté tímto počítačem. Tato chyba může také znamenat problémy s interoperabilitou s jinými implementacemi protokolu IPsec. V takovém případě je možné tyto události ignorovat, pokud se připojení neohrožuje. - 5478: Služba IPsec byla úspěšně spuštěna. - 5479: Služba IPsec byla úspěšně vypnuta. Vypnutí služeb IPsec může počítač vystavit většímu riziku síťového útoku nebo vystavit počítač potenciálním bezpečnostním rizikům. - 5480: Službě IPsec se nepodařilo získat úplný seznam síťových rozhraní v počítači. To představuje potenciální bezpečnostní riziko, protože některá síťová rozhraní nemusí získat ochranu poskytovanou použitými filtry IPsec. K diagnostice problému použijte modul snap-in Monitorování zabezpečení protokolu IP. – 5483: Službě IPsec se nepodařilo inicializovat server RPC. Služby IPsec nelze spustit. - 5484: U služeb IPsec došlo k kritické chybě a byla vypnuta. Vypnutí služeb IPsec může počítač vystavit většímu riziku síťového útoku nebo vystavit počítač potenciálním bezpečnostním rizikům. - 5485: Službě IPsec se nepodařilo zpracovat některé filtry IPsec v události plug-and-play pro síťová rozhraní. To představuje potenciální bezpečnostní riziko, protože některá síťová rozhraní nemusí získat ochranu poskytovanou použitými filtry IPsec. K diagnostice problému použijte modul snap-in Monitorování zabezpečení protokolu IP. Doporučený stav pro toto nastavení je: `Success and Failure`. Cesta ke klíči: {0CCE9213-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\Auditovat ovladač IPsec Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.9.1 CIS WS2019 17.9.1	>= Úspěch a selhání _(Audit)	Kritické
Auditovat jiné systémové události _{(CCE-38030-3)}	Popis: Tato podkategorie hlásí jiné systémové události. Události pro tuto podkategorii zahrnují: - 5024: Služba Brána Windows Firewall byla úspěšně spuštěna. - 5025: Služba Windows Firewall byla zastavena. - 5027: Služba Brány Windows Firewall nemohla načíst zásady zabezpečení z místního úložiště. Služba bude dál vynucovat aktuální zásady. - 5028: Služba Brány Windows Firewall nemohla analyzovat nové zásady zabezpečení. Služba bude pokračovat s aktuálně vynucenými zásadami. - 5029: Službě Windows Firewall se nepodařilo inicializovat ovladač. Služba bude dál vynucovat aktuální zásady. - 5030: Službu brány Windows Firewall se nepodařilo spustit. - 5032: Brána Windows Firewall nemohla uživatele upozornit, že aplikace nemohla přijímat příchozí připojení v síti. - 5033: Ovladač brány Windows Firewall byl úspěšně spuštěn. - 5034: Ovladač brány Windows Firewall byl zastaven. - 5035: Ovladač brány Windows Firewall se nepodařilo spustit. - 5037: Ovladač brány Windows Firewall zjistil kritickou chybu za běhu. Ukončující. - 5058: Operace souboru klíče. - 5059: Klíčová operace migrace. Doporučený stav pro toto nastavení je: `Success and Failure`. Cesta klíče: {0CCE9214-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\Auditovat další systémové události Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 17.9.2 CIS WS2019 17.9.2	= Úspěch a selhání _(Audit)	Kritické
Auditovat změnu stavu zabezpečení _{(CCE-38114-5)}	Popis: Tato podkategorie hlásí změny ve stavu zabezpečení systému, například při spuštění a zastavení subsystému zabezpečení. Události pro tuto podkategorii zahrnují: — 4608: Windows se spouští. — 4609: Systém Windows se vypíná. — 4616: Systémový čas byl změněn. — 4621: Správce obnovil systém z CrashOnAuditFail. Uživatelé, kteří nejsou správci, se teď budou moct přihlásit. Některá auditovatelná aktivita se možná nezaznamenala. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\AuditOvat změnu stavu zabezpečení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.9.3	>= Úspěch _(Audit)	Kritické
Auditovat rozšíření systému zabezpečení _{(CCE-36144-4)}	Popis: Tato podkategorie hlásí načítání kódu rozšíření, jako jsou ověřovací balíčky subsystému zabezpečení. Události pro tuto podkategorii zahrnují: — 4610: Ověřovací balíček byl načten místní autoritou zabezpečení. — 4611: Důvěryhodný proces přihlášení byl registrován u místní bezpečnostní autority. — 4614: Správce účtu zabezpečení načetl balíček oznámení. — 4622: Místní úřad zabezpečení načetl balíček zabezpečení. — 4697: V systému byla nainstalována služba. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta klíče: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Success`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\System\Audit Security System Extension Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.9.4	>= Úspěch _(Audit)	Kritické
Auditovat integritu systému _{(CCE-37132-8)}	Popis: Tato podkategorie hlásí porušení integrity subsystému zabezpečení. Mezi události pro tuto podkategorii patří: — 4612: Interní zdroje přidělené ke frontě zpráv auditu byly vyčerpány, což vede ke ztrátě některých auditů. — 4615: Neplatné použití portu LPC. — 4618: Došlo k monitorovanému vzoru událostí zabezpečení. — 4816 : RPC zjistilo porušení integrity při dešifrování příchozí zprávy. — 5038: Integrita kódu zjistila, že hodnota hash obrázku souboru není platná. Soubor může být poškozený kvůli neoprávněné úpravě nebo neplatná hodnota hash může značit možnou chybu diskového zařízení. — 5056: Provedl se kryptografický samoobslužný test. — 5057: Kryptografická primitivní operace selhala. — 5060: Operace ověření selhala. — 5061: Kryptografická operace. — 5062: Byl proveden kryptografický samoobslužný test v režimu jádra. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Cesta ke klíči: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Úspěch a selhání: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\Audit Integrity systému Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 17.9.5	= Úspěch a selhání _(Audit)	Kritické

Přiřazení uživatelských práv

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Získat přístup ke Správci pověření jako k důvěryhodnému volajícímu _{(CCE-37056-9)}	Popis: Toto nastavení zabezpečení používá Správce přihlašovacích údajů během zálohování a obnovení. Žádné účty by neměly mít toto uživatelské právo, protože je přiřazeno pouze k Winlogonu. Uložené přihlašovací údaje uživatelů můžou být ohroženy, pokud je toto uživatelské právo přiřazené jiným entitě. Doporučený stav pro toto nastavení je: `No One`. Cesta ke klíči: [Práva oprávnění]SeTrustedCredManAccessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No One`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Správce přihlašovacích údajů přístupu jako důvěryhodný volající Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1	= Nikdo _(Zásady)	Upozorňující
Přistupovat k tomuto počítači přes síť _{(CCE-35818-4)}	Popis: Toto nastavení zásad umožňuje ostatním uživatelům v síti připojit se k počítači a je vyžadováno různými síťovými protokoly, které zahrnují protokoly založené na protokolu SMB (Server Message Block), NetBIOS, Common Internet File System (CIFS) a component Object Model Plus (COM+). - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Administrators, Authenticated Users. Cesta ke klíči: [Práva oprávnění]SeNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Přístup k tomuto počítači ze sítě Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3	<= Administrators, Authenticated Users _(Zásady)	Kritické
Slouží jako součást operačního systému _{(CCE-36876-1)}	Popis: Toto nastavení zásad umožňuje procesu předpokládat identitu libovolného uživatele a získat tak přístup k prostředkům, ke kterým má uživatel oprávnění přistupovat. Doporučený stav pro toto nastavení je: `No One`. Cesta ke klíči: [Práva oprávnění]SeTcbPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No One`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Jednat jako součást operačního systému Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4	= Nikdo _(Zásady)	Kritické
Povolit místní přihlášení _{(CCE-37659-0)}	Popis: Toto nastavení zásad určuje, kteří uživatelé se můžou interaktivně přihlásit k počítačům ve vašem prostředí. Přihlášení iniciovaná stisknutím kombinace kláves CTRL+ALT+DEL na klávesnici klientského počítače vyžadují toto uživatelské právo. Uživatelé, kteří se pokusí přihlásit přes Terminálovou službu nebo službu IIS, vyžadují také toto uživatelské právo. Účet hosta je ve výchozím nastavení přiřazený tomuto uživateli. I když je tento účet ve výchozím nastavení zakázaný, Společnost Microsoft doporučuje toto nastavení povolit prostřednictvím zásad skupiny. Tato uživatelská práva by však měla být obecně omezena na skupiny Administrators a Users. Pokud vaše organizace vyžaduje, aby měla tuto funkci, přiřaďte toto uživatelské právo skupině Backup Operators. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače. Cesta ke klíči: [Oprávnění Rights]SeInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Povolit místní přihlášení Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.7	= Správci _(Zásady)	Kritické
Povolit přihlášení prostřednictvím Vzdálené plochy _{(CCE-37072-6)}	Popis: Toto nastavení zásad určuje, kteří uživatelé nebo skupiny mají právo se přihlásit jako klient terminálové služby. Uživatelé vzdálené plochy vyžadují toto uživatelské právo. Pokud vaše organizace používá vzdálenou pomoc jako součást strategie helpdesku, vytvořte skupinu a přiřaďte ji přímo prostřednictvím zásad skupiny. Pokud helpdesk ve vaší organizaci nepoužívá vzdálenou pomoc, přiřaďte toto uživatelské právo pouze skupině Administrators nebo použijte funkci skupiny s omezeným přístupem, aby se zajistilo, že žádné uživatelské účty nejsou součástí skupiny Uživatelé vzdálené plochy. Omezte toto uživatelské právo na skupinu Administrators a případně skupinu Uživatelé vzdálené plochy, abyste zabránili nežádoucím uživatelům v získání přístupu k počítačům ve vaší síti pomocí funkce Vzdálená pomoc. - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Správci. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Administrators, Remote Desktop Users. Poznámka: Členský server, který obsahuje roli Vzdálená plocha se službou role Zprostředkovatele připojení ke vzdálené ploše, bude vyžadovat zvláštní výjimku tohoto doporučení, aby byla této skupině "Ověření uživatelé" udělena tato uživatelská práva. Poznámka 2: Výše uvedené seznamy se považují za seznamy povolených, což znamená, že výše uvedené objekty zabezpečení nemusí být k posouzení tohoto doporučení k dispozici. Cesta ke klíči: [Práva oprávnění]SeRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Povolit přihlášení prostřednictvím služby Vzdálená plocha Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9	<= Správci, uživatelé vzdálené plochy _(Zásady)	Kritické
Zálohovat soubory a adresáře _{(CCE-35912-5)}	Popis: Toto nastavení zásad umožňuje uživatelům obejít oprávnění k souborům a adresářům pro zálohování systému. Toto uživatelské právo je povoleno pouze v případě, že se aplikace (například NTBACKUP) pokusí získat přístup k souboru nebo adresáři prostřednictvím rozhraní API (File System Backup Application Programming Interface). V opačném případě se použijí přiřazená oprávnění k souboru a adresáři. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeBackupPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`hodnotu . Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zálohování souborů a adresářů Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10	<= Administrators, Backup Operators, Server Operators _(Zásady)	Kritické
Vynechat kontrolu přecházení _{(AZ-WIN-00184)}	Popis: Toto nastavení zásad umožňuje uživatelům, kteří nemají přístup ke složce procházet složky při procházení cesty k objektu v systému souborů NTFS nebo registru. Toto uživatelské právo neumožňuje uživatelům vypsat obsah složky. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače. Cesta ke klíči: [Práva oprávnění]SeChangeNotifyPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Obejít kontrolu procházení tak, aby zahrnovala pouze následující účty nebo skupiny: `Administrators, Authenticated Users, Backup Operators, Local Service, Network Service` Standardní mapování dodržování předpisů:	<= Administrators, Authenticated Users, Backup Operators, Local Service, Network Service _(Zásady)	Kritické
Změnit systémový čas _{(CCE-37452-0)}	Popis: Toto nastavení zásad určuje, kteří uživatelé a skupiny můžou změnit čas a datum v interních hodinách počítačů ve vašem prostředí. Uživatelé, kteří mají přiřazená tato uživatelská práva, můžou ovlivnit vzhled protokolů událostí. Když se změní nastavení času počítače, zaprotokolované události odrážejí nový čas, nikoli skutečný čas, kdy došlo k událostem. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače. Poznámka: Nesrovnalosti mezi časem místního počítače a řadiči domény ve vašem prostředí můžou způsobovat problémy s ověřovacím protokolem Kerberos, což může uživatelům znemožnit přihlášení k doméně nebo získání autorizace pro přístup k prostředkům domény po přihlášení. Při použití zásad skupiny na klientské počítače dojde také k problémům, pokud systémový čas není synchronizován s řadiči domény. Doporučený stav pro toto nastavení je: `Administrators, LOCAL SERVICE`. Cesta ke klíči: [Práva oprávnění]SeSystemtimePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators, LOCAL SERVICE`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Změna systémového času Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.11 CIS WS2022 2.2.11	<= Administrators, Server Operators, LOCAL SERVICE _(Zásady)	Kritické
Změnit časové pásmo _{(CCE-37700-2)}	Popis: Toto nastavení určuje, kteří uživatelé mohou změnit časové pásmo počítače. Tato schopnost nemá pro počítač žádné velké nebezpečí a může být užitečná pro mobilní pracovníky. Doporučený stav pro toto nastavení je: `Administrators, LOCAL SERVICE`. Cesta ke klíči: [Práva oprávnění]SeTimeZonePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators, LOCAL SERVICE`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Změna časového pásma Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.12 CIS WS2022 2.2.12	<= Správci, MÍSTNÍ SLUŽBA _(Zásady)	Kritické
Vytvořit stránkovací soubor _{(CCE-35821-8)}	Popis: Toto nastavení zásad umožňuje uživatelům změnit velikost stránkovacího souboru. Když vytvoří stránkovací soubor extrémně velký nebo extrémně malý, útočník by mohl snadno ovlivnit výkon ohroženého počítače. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Oprávnění Rights]SeCreatePagefilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvoření stránkovacího souboru Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13	= Správci _(Zásady)	Kritické
Vytvořit objekt tokenu _{(CCE-36861-3)}	Popis: Toto nastavení zásad umožňuje procesu vytvořit přístupový token, který může poskytovat zvýšená práva pro přístup k citlivým datům. Doporučený stav pro toto nastavení je: `No One`. Cesta ke klíči: [Práva oprávnění]SeCreateTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No One`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvoření objektu tokenu Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14	= Nikdo _(Zásady)	Upozorňující
Vytvořit globální objekty _{(CCE-37453-8)}	Popis: Toto nastavení zásad určuje, jestli uživatelé mohou vytvářet globální objekty, které jsou k dispozici pro všechny relace. Uživatelé můžou i nadále vytvářet objekty specifické pro vlastní relaci, pokud nemají tato uživatelská práva. Uživatelé, kteří mohou vytvářet globální objekty, můžou ovlivnit procesy spuštěné v rámci relací jiných uživatelů. Tato funkce může vést k různým problémům, jako je selhání aplikace nebo poškození dat. Doporučený stav pro toto nastavení je: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Poznámka: Členský server s Microsoft SQL Serverem a nainstalovanou volitelnou komponentou Integrační služby bude vyžadovat zvláštní výjimku tohoto doporučení pro další položky generované SQL, které mají být uděleny tomuto uživatelskému právu. Cesta ke klíči: [Práva oprávnění]SeCreateGlobalPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvoření globálních objektů Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15	<= Administrators, SERVICE, LOCAL SERVICE, NETWORK SERVICE _(Zásady)	Upozorňující
Vytvořit trvale sdílené objekty _{(CCE-36532-0)}	Popis: Toto uživatelské právo je užitečné pro komponenty režimu jádra, které rozšiřují obor názvů objektů. Komponenty, které běží v režimu jádra, však mají tento uživatel právo své podstaty. Proto obvykle není nutné přiřadit toto uživatelské právo. Doporučený stav pro toto nastavení je: `No One`. Cesta ke klíči: [Práva oprávnění]SeCreatePermanentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No One`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvořit trvalé sdílené objekty Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16	= Nikdo _(Zásady)	Upozorňující
Vytvořit symbolické odkazy _{(CCE-35823-4)}	Popis: Toto nastavení zásad určuje, kteří uživatelé mohou vytvářet symbolické odkazy. V systému Windows Vista lze k existujícím objektům systému souborů NTFS, jako jsou soubory a složky, přistupovat odkazem na nový typ objektu systému souborů označovaného jako symbolický odkaz. Symbolický odkaz je ukazatel (podobně jako zástupce nebo .lnk soubor) na jiný objekt systému souborů, což může být soubor, složka, zástupce nebo jiný symbolický odkaz. Rozdíl mezi zástupcem a symbolickým odkazem spočívá v tom, že zástupce funguje jenom v prostředí Windows. Pro jiné programy a aplikace jsou zkratky jen další soubor, zatímco s symbolickými odkazy je koncept zástupce implementován jako funkce systému souborů NTFS. Symbolické odkazy můžou potenciálně vystavit ohrožení zabezpečení v aplikacích, které nejsou určené k jejich použití. Z tohoto důvodu by se oprávnění k vytváření symbolických odkazů mělo přiřadit jenom důvěryhodným uživatelům. Ve výchozím nastavení můžou symbolické odkazy vytvářet jenom správci. - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Správci. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Správci a (při instalaci role Hyper-V ) NT VIRTUAL MACHINE\Virtual Machines. Cesta ke klíči: [Práva oprávnění]SeCreateSymbolicLinkPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete implementovat doporučený stav konfigurace, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvořit symbolické odkazy Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18	<= Administrators, NT VIRTUAL MACHINE\Virtual Machines _(Zásady)	Kritické
Ladit programy _{(AZ-WIN-73755)}	Popis: Toto nastavení zásad určuje, které uživatelské účty budou mít právo připojit ladicí program k jakémukoli procesu nebo jádru, což poskytuje úplný přístup k citlivým a kritickým komponentám operačního systému. Vývojáři, kteří ladí své vlastní aplikace, nemusí být přiřazeno toto uživatelské právo; vývojáři, kteří ladí nové systémové komponenty, je však budou potřebovat. Doporučený stav pro toto nastavení je: `Administrators`. Poznámka: Toto uživatelské právo se považuje za "citlivé oprávnění" pro účely auditování. Cesta ke klíči: [Práva oprávnění]SeDebugPrivilege Operační systém: WS2016, WS2019 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Ladicí programy Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.2.19 CIS WS2019 2.2.19	= Správci _(Zásady)	Kritické
Odepřít přístup k tomuto počítači ze sítě _{(CCE-37954-5)}	Popis: Toto nastavení zásad zakazuje uživatelům připojovat se k počítači z celé sítě, což by uživatelům umožnilo vzdálený přístup k datům a jejich případnou úpravu. V prostředích s vysokým zabezpečením by nemělo být nutné, aby vzdálení uživatelé měli přístup k datům v počítači. Místo toho by mělo být sdílení souborů provedeno pomocí síťových serverů. - Úroveň 1 – řadič domény Doporučeným stavem tohoto nastavení je: Hosté, místní účet. - Úroveň 1 – členský server. Doporučeným stavem tohoto nastavení je: Hosté, místní účet a člen skupiny Administrators. Upozornění: Konfigurace samostatného serveru (bez připojení k doméně), jak je popsáno výše, může vést k nemožnosti vzdáleně spravovat server. Poznámka: Konfigurace členového serveru nebo samostatného serveru, jak je popsáno výše, může nepříznivě ovlivnit aplikace, které vytvoří místní účet služby a umístí ho do skupiny Administrators – v takovém případě musíte aplikaci převést na použití účtu služby hostované v doméně nebo odebrat místní účet a člena skupiny Administrators z tohoto přiřazení práv uživatele. Pokud je to možné, je použití účtu služby hostované v doméně důrazně upřednostňované před provedením výjimky z tohoto pravidla. Cesta ke klíči: [Práva oprávnění]SeDenyNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přístup k tomuto počítači ze sítě Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21	>= Hosté _(Zásady)	Kritické
Odepřít přihlášení se jako dávková úloha _{(CCE-36923-1)}	Popis: Toto nastavení zásad určuje, které účty se nebudou moct přihlásit k počítači jako dávková úloha. Dávková úloha není dávkový soubor (.bat), ale spíše dávkové fronty. Účty, které používají plánovač úloh k naplánování úloh, potřebují toto uživatelské právo. Přihlášení jako uživatel dávkové úlohy má přednost před právem uživatele dávkové úlohy , které by bylo možné použít k tomu, aby účty mohly plánovat úlohy, které spotřebovávají nadměrné systémové prostředky. Takový výskyt by mohl způsobit podmínku DoS. Selháním přiřazení tohoto uživatelského práva k doporučeným účtům může být bezpečnostní riziko. Doporučeným stavem tohoto nastavení je: `Guests`. Cesta ke klíči: [Práva oprávnění]SeDenyBatchLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Guests`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přihlášení jako dávková úloha Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22	>= Hosté _(Zásady)	Kritické
Odepřít přihlášení se jako služba _{(CCE-36877-9)}	Popis: Toto nastavení zabezpečení určuje, které účty služeb se brání v registraci procesu jako služby. Toto nastavení zásad nahrazuje nastavení zásad přihlášení jako služby , pokud se na účet vztahují obě zásady. Doporučeným stavem tohoto nastavení je: `Guests`. Poznámka: Toto nastavení zabezpečení se nevztahuje na účty systému, místní služby nebo síťové služby. Cesta ke klíči: [Práva oprávnění]SeDenyServiceLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Guests`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přihlášení jako služba Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23	>= Hosté _(Zásady)	Kritické
Odepřít místní přihlášení _{(CCE-37146-8)}	Popis: Toto nastavení zabezpečení určuje, kteří uživatelé nebudou přihlášení k počítači. Toto nastavení zásad nahrazuje nastavení Povolit přihlášení místně , pokud se na účet vztahují obě zásady. Důležité: Pokud tuto zásadu zabezpečení použijete pro skupinu Všichni, nikdo se nebude moct přihlásit místně. Doporučeným stavem tohoto nastavení je: `Guests`. Cesta ke klíči: [Práva oprávnění]SeDenyInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala `Guests`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Místní přihlášení Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24	>= Hosté _(Zásady)	Kritické
Zakázat přihlášení prostřednictvím Vzdálené plochy _{(CCE-36867-0)}	Popis: Toto nastavení zásad určuje, jestli se uživatelé můžou přihlásit jako klienti Terminálové služby. Jakmile je členský server směrného plánu připojený k doménovému prostředí, není nutné pro přístup k serveru ze sítě používat místní účty. Účty domény mají přístup k serveru pro správu a zpracování koncových uživatelů. Doporučeným stavem tohoto nastavení je: `Guests, Local account`. Upozornění: Konfigurace samostatného serveru (bez připojení k doméně), jak je popsáno výše, může vést k nemožnosti vzdáleně spravovat server. Cesta ke klíči: [Práva oprávnění]SeDenyRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přihlášení prostřednictvím služby Vzdálená plocha Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.26	>= Hosté _(Zásady)	Kritické
Povolit nastavení důvěryhodnosti pro delegování pro účty počítačů a uživatelů _{(CCE-36860-5)}	Popis: Toto nastavení zásad umožňuje uživatelům změnit nastavení Důvěryhodné pro delegování na objektu počítače ve službě Active Directory. Zneužití tohoto oprávnění by mohlo umožnit neoprávněným uživatelům zosobnit ostatní uživatele v síti. - Úroveň 1 – řadič domény Doporučeným stavem tohoto nastavení je: Administrators - Level 1 - Member Server. Doporučeným stavem tohoto nastavení je: Nikdo. Cesta ke klíči: [Práva oprávnění]SeEnableDelegationPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Povolení důvěryhodnosti počítačů a uživatelských účtů pro delegování Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28	= Nikdo _(Zásady)	Kritické
Vynutit vypnutí ze vzdáleného systému _{(CCE-37877-8)}	Popis: Toto nastavení zásad umožňuje uživatelům vypnout počítače se systémem Windows Vista ze vzdálených umístění v síti. Každý, kdo má toto uživatelské právo přiřazené, může způsobit podmínku odepření služby (DoS), která by způsobila nedostupnost počítače pro žádosti uživatelů služby. Proto se doporučuje přiřadit toto uživatelské právo pouze vysoce důvěryhodným správcům. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeRemoteShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vynucení vypnutí ze vzdáleného systému Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29	= Správci _(Zásady)	Kritické
Generovat audity zabezpečení _{(CCE-37639-2)}	Popis: Toto nastavení zásad určuje, kteří uživatelé nebo procesy mohou generovat záznamy auditu v protokolu zabezpečení. Doporučený stav pro toto nastavení je: `LOCAL SERVICE, NETWORK SERVICE`. Poznámka: Členský server, který obsahuje roli webového serveru (IIS) se službou rolí webového serveru , bude vyžadovat zvláštní výjimku tohoto doporučení, aby bylo povoleno udělení tohoto uživatelského práva fondu aplikací služby IIS. Poznámka č. 2: Členský server, který obsahuje roli Active Directory Federation Services (AD FS), bude vyžadovat zvláštní výjimku tohoto doporučení, povolit a `NT SERVICE\ADFSSrv` služby a `NT SERVICE\DRS` také přidružené Active Directory Federation Services (AD FS) účet služby, který má být uděleno tomuto uživatelskému právu. Cesta ke klíči: [Práva oprávnění]SeAuditPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `LOCAL SERVICE, NETWORK SERVICE`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Generování auditů zabezpečení Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30	<= Local Service, Network Service, IIS APPPOOL\DefaultAppPool _(Zásady)	Kritické
Zvýšit pracovní sadu procesu _{(AZ-WIN-00185)}	Popis: Toto oprávnění určuje, které uživatelské účty mohou zvětšit nebo zmenšit velikost pracovní sady procesu. Pracovní sada procesu je sada paměťových stránek, které jsou aktuálně viditelné pro proces ve fyzické paměti RAM. Tyto stránky jsou rezidentní a jsou k dispozici pro aplikaci, která se má použít bez aktivace chyby stránky. Minimální a maximální velikost pracovní sady ovlivňuje chování stránkování virtuální paměti procesu. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače. Cesta ke klíči: [Práva oprávnění]SeIncreaseWorkingSetPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zvýšení pracovní sady procesů Standardní mapování dodržování předpisů:	<= Administrators, Local Service _(Zásady)	Upozorňující
Zvýšit prioritu plánování _{(CCE-38326-5)}	Popis: Toto nastavení zásad určuje, zda uživatelé mohou zvýšit základní třídu priority procesu. (Nejedná se o privilegovanou operaci ke zvýšení relativní priority v rámci třídy priority.) Tato uživatelská práva nevyžadují nástroje pro správu, které jsou dodávány s operačním systémem, ale mohou být vyžadovány nástroji pro vývoj softwaru. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeIncreaseBasePriorityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators, Window Manager\Window Manager Group`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zvýšit prioritu plánování Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33	= Správci _(Zásady)	Upozorňující
Načíst a odstranit z paměti ovladače zařízení _{(CCE-36318-4)}	Popis: Toto nastavení zásad umožňuje uživatelům dynamicky načítat nový ovladač zařízení v systému. Útočník by mohl tuto funkci použít k instalaci škodlivého kódu, který vypadá jako ovladač zařízení. Toto uživatelské právo je vyžadováno, aby uživatelé přidali místní tiskárny nebo ovladače tiskárny v systému Windows Vista. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeLoadDriverPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Načtení a uvolnění ovladačů zařízení Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34	<= Správci, operátory tisku _(Zásady)	Upozorňující
Uzamknout stránky v paměti _{(CCE-36495-0)}	Popis: Toto nastavení zásad umožňuje procesu uchovávat data ve fyzické paměti, což systému brání stránkování dat do virtuální paměti na disku. Pokud je toto uživatelské právo přiřazeno, může dojít k významnému snížení výkonu systému. Doporučený stav pro toto nastavení je: `No One`. Cesta ke klíči: [Práva oprávnění]SeLockMemoryPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No One`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zamknout stránky v paměti Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35	= Nikdo _(Zásady)	Upozorňující
Spravovat auditování a protokol zabezpečení _{(CCE-35906-7)}	Popis: Toto nastavení zásad určuje, kteří uživatelé můžou změnit možnosti auditování souborů a adresářů a vymazat protokol zabezpečení. V prostředích se systémem Microsoft Exchange Server musí mít skupina Exchange Servers toto oprávnění pro řadiče domény, aby správně fungovala. V takovém případě řadiče domény udělující skupině Exchange Servers toto oprávnění vyhovují tomuto srovnávacímu testu. Pokud prostředí nepoužívá Microsoft Exchange Server, mělo by být toto oprávnění omezeno pouze na správce na řadičích domény. - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Správci a (když exchange běží v prostředí) Exchange Servers. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Správci. Cesta ke klíči: [Práva oprávnění]SeSecurityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Správa auditování a protokolu zabezpečení Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38	= Správci _(Zásady)	Kritické
Změnit označení objektu _{(CCE-36054-5)}	Popis: Toto oprávnění určuje, které uživatelské účty mohou upravovat popisek integrity objektů, jako jsou soubory, klíče registru nebo procesy vlastněné jinými uživateli. Procesy spuštěné pod uživatelským účtem mohou upravit popisek objektu vlastněného tímto uživatelem na nižší úroveň bez tohoto oprávnění. Doporučený stav pro toto nastavení je: `No One`. Cesta ke klíči: [Práva oprávnění]SeRelabelPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `No One`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Úprava popisku objektu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.39 CIS WS2022 2.2.39	= Nikdo _(Zásady)	Upozorňující
Změnit hodnoty prostředí firmwaru _{(CCE-38113-7)}	Popis: Toto nastavení zásad umožňuje uživatelům konfigurovat proměnné prostředí pro celý systém, které ovlivňují konfiguraci hardwaru. Tyto informace jsou obvykle uloženy v poslední známé dobré konfiguraci. Změna těchto hodnot a může vést k selhání hardwaru, které by vedlo k odepření stavu služby. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeSystemEnvironmentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Změna hodnot prostředí firmwaru Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40	= Správci _(Zásady)	Upozorňující
Provést úlohy údržby svazku _{(CCE-36143-6)}	Popis: Toto nastavení zásad umožňuje uživatelům spravovat konfiguraci svazku nebo disku systému, což může uživateli umožnit odstranit svazek a způsobit ztrátu dat a také podmínku odepření služby. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeManageVolumePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Provádění úloh údržby svazků Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41	= Správci _(Zásady)	Upozorňující
Profilovat jediný proces _{(CCE-37131-0)}	Popis: Toto nastavení zásad určuje, kteří uživatelé můžou používat nástroje ke sledování výkonu nesystémových procesů. Obvykle není nutné konfigurovat toto uživatelské právo pro použití modulu snap-in Výkon konzoly MMC (Microsoft Management Console). Toto uživatelské právo však potřebujete, pokud je nástroj Sledování systému nakonfigurovaný tak, aby shromažďoval data pomocí rozhraní WMI (Windows Management Instrumentation). Omezení uživatelského práva s jedním procesem profilu brání útočníkům v získání dalších informací, které by bylo možné použít k připojení útoku na systém. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeProfileSingleProcessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Profil – jeden proces Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42	= Správci _(Zásady)	Upozorňující
Profilovat výkon systému _{(CCE-36052-9)}	Popis: Toto nastavení zásad umožňuje uživatelům používat nástroje k zobrazení výkonu různých systémových procesů, které by mohly být zneužity, aby útočníci mohli určit aktivní procesy systému a poskytnout přehled o potenciálním prostoru pro útok na počítač. Doporučený stav pro toto nastavení je: `Administrators, NT SERVICE\WdiServiceHost`. Cesta ke klíči: [Práva oprávnění]SeSystemProfilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators, NT SERVICE\WdiServiceHost`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Výkon systému profilu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.43 CIS WS2022 2.2.43	<= Administrators, NT SERVICE\WdiServiceHost _(Zásady)	Upozorňující
Nahradit token úrovně procesu _{(CCE-37430-6)}	Popis: Toto nastavení zásad umožňuje jednomu procesu nebo službě spustit jinou službu nebo proces s jiným přístupovým tokenem zabezpečení, který lze použít k úpravě přístupového tokenu zabezpečení tohoto dílčího procesu a k eskalaci oprávnění. Doporučený stav pro toto nastavení je: `LOCAL SERVICE, NETWORK SERVICE`. Poznámka: Členský server, který obsahuje roli webového serveru (IIS) se službou rolí webového serveru , bude vyžadovat zvláštní výjimku tohoto doporučení, aby bylo povoleno udělení tohoto uživatelského práva fondu aplikací služby IIS. Poznámka č. 2: Členský server s nainstalovaným Microsoft SQL Serverem bude vyžadovat zvláštní výjimku tohoto doporučení pro udělení tohoto uživatelského práva dalším položkám vygenerovaným systémem SQL. Cesta ke klíči: [Práva oprávnění]SeAssignPrimaryTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `LOCAL SERVICE, NETWORK SERVICE`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Nahrazení tokenu na úrovni procesu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.44 CIS WS2022 2.2.44	<= MÍSTNÍ SLUŽBA, SÍŤOVÁ SLUŽBA _(Zásady)	Upozorňující
Obnovit soubory a adresáře _{(CCE-37613-7)}	Popis: Toto nastavení zásad určuje, kteří uživatelé mohou obejít oprávnění k souborům, adresáři, registru a dalším trvalým objektům při obnovování zálohovaných souborů a adresářů v počítačích se systémem Windows Vista ve vašem prostředí. Toto uživatelské právo také určuje, kteří uživatelé mohou nastavit platné objekty zabezpečení jako vlastníci objektů; podobá se uživatelskému právu Zálohovat soubory a adresáře. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeRestorePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Obnovení souborů a adresářů Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.45	<= Administrators, Backup Operators _(Zásady)	Upozorňující
Vypnout systém _{(CCE-38328-1)}	Popis: Toto nastavení zásad určuje, kteří uživatelé jsou přihlášeni místně k počítačům ve vašem prostředí, mohou vypnout operační systém pomocí příkazu Vypnout. Zneužití tohoto práva uživatele může mít za následek odepření služby. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vypnout systém Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 2.2.46 CIS WS2022 2.2.46	<= Administrators, Backup Operators _(Zásady)	Upozorňující
Převzít vlastnictví souborů a dalších objektů _{(CCE-38325-7)}	Popis: Toto nastavení zásad umožňuje uživatelům převzít vlastnictví souborů, složek, klíčů registru, procesů nebo vláken. Toto uživatelské právo obchází všechna oprávnění, která jsou nastavená k ochraně objektů za účelem udělení vlastnictví zadanému uživateli. Doporučený stav pro toto nastavení je: `Administrators`. Cesta ke klíči: [Práva oprávnění]SeTakeOwnershipPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Administrators`: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Převzetí vlastnictví souborů nebo jiných objektů Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48	= Správci _(Zásady)	Kritické
Zosobnění klienta po ověření musí být přiřazeno pouze správcům, službám, místní službě a síťové službě. _{(AZ-WIN-73785)}	Popis: Nastavení zásad umožňuje programům, které běží jménem uživatele, zosobnit daného uživatele (nebo jiný zadaný účet), aby mohly jednat jménem uživatele. Pokud je pro tento druh zosobnění vyžadováno toto uživatelské právo, neoprávněný uživatel nebude moct přesvědčit klienta, aby se mohl připojit například vzdáleným voláním procedur (RPC) nebo pojmenovanými kanály do služby, kterou vytvořili k zosobnění tohoto klienta, což by mohlo zvýšit oprávnění neoprávněného uživatele na úroveň správy nebo systému. Služby, které spouští Správce řízení služeb, mají do přístupových tokenů ve výchozím nastavení přidanou integrovanou skupinu služeb. Servery com, které spouští infrastruktura modelu COM a jsou nakonfigurované tak, aby běžely v rámci konkrétního účtu, mají také přidanou skupinu služeb do svých přístupových tokenů. V důsledku toho se těmto procesům přiřazují tato uživatelská práva při spuštění. Uživatel může také zosobnit přístupový token, pokud existují některé z následujících podmínek: – přístupový token, který se zosobní, je pro tohoto uživatele. - Uživatel, v této přihlašovací relaci, přihlášen k síti s explicitními přihlašovacími údaji pro vytvoření přístupového tokenu. – Požadovaná úroveň je menší než zosobnění, například Anonymní nebo Identifikovat. Útočník s zosobněním klienta po ověření práva uživatele může vytvořit službu, zkomplikovat klienta, aby se připojil ke službě, a pak zosobnit tohoto klienta, aby zvýšil úroveň přístupu útočníka na úroveň přístupu klienta. Doporučený stav pro toto nastavení je: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Poznámka: Toto uživatelské právo se považuje za "citlivé oprávnění" pro účely auditování. Poznámka č. 2: Členský server s microsoft SQL Serverem a nainstalovanou volitelnou komponentou Integrační služby bude vyžadovat zvláštní výjimku z tohoto doporučení, aby se dalším položkám vygenerovaným jazykem SQL udělilo toto uživatelské právo. Cesta ke klíči: [Práva oprávnění]SeImpersonatePrivilege Operační systém: WS2016, WS2019 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Po ověření zosobnit klienta Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.2.31 CIS WS2019 2.2.31	<= Administrators,Service,Local Service,Network Service _(Zásady)	Důležité

Součásti systému Windows

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Povolit základní ověřování _{(CCE-36254-1)}	Popis: Toto nastavení zásad umožňuje spravovat, jestli služba Vzdálená správa systému Windows (WinRM) přijímá základní ověřování ze vzdáleného klienta. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Služba WinRM\Povolit základní ověřování Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `WindowsRemoteManagement.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1	Neexistuje nebo = 0 _(Registr)	Kritické
Povolit diagnostická data _{(AZ-WIN-00169)}	Popis: Toto nastavení zásad určuje množství diagnostických dat a dat o využití hlášených Microsoftu. Hodnota 0 odešle Microsoftu minimální data. Tato data zahrnují nástroj pro odebrání škodlivého softwaru (MSRT) a data programu Windows Defender, pokud jsou povolená, a nastavení klienta telemetrie. Nastavení hodnoty 0 se vztahuje pouze na podniková, EDU, IoT a serverová zařízení. Nastavení hodnoty 0 pro jiná zařízení odpovídá výběru hodnoty 1. Hodnota 1 odesílá pouze základní množství diagnostických dat a dat o využití. Všimněte si, že nastavení hodnot 0 nebo 1 sníží určité možnosti na zařízení. Hodnota 2 odesílá rozšířená diagnostická data a data o využití. Hodnota 3 odesílá stejná data jako hodnota 2 a navíc další diagnostická data, včetně souborů a obsahu, které mohly způsobit problém. Nastavení telemetrie Windows 10 platí pro operační systém Windows a některé aplikace první strany. Toto nastavení se nevztahuje na aplikace třetích stran běžící ve Windows 10. Doporučený stav pro toto nastavení je: `Enabled: 0 - Security [Enterprise Only]`. Poznámka: Pokud je nastavení Povolit telemetrii nakonfigurované na hodnotu 0 – Zabezpečení [Jenom enterprise], nebudou mít možnosti v služba Windows Update odložení upgradů a aktualizací žádný vliv. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: Diagnostic data off (not recommended)` hodnotu nebo `Enabled: Send required diagnostic data`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Shromažďování dat a buildy verze Preview\Povolit diagnostická data Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou zásad skupiny DataCollection.admx/adml, která je součástí microsoft Windows 11 Release 21H2 šablon pro správu (nebo novější). Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Povolit telemetrii, ale bylo přejmenováno na Povolit diagnostická data počínaje šablonami pro správu windows 11 verze 21H2. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1	>= 1 _(Registr)	Upozorňující
Povolit indexování šifrovaných souborů _{(CCE-38277-0)}	Popis: Toto nastavení zásad určuje, zda mají být šifrované položky indexovány. Po změně tohoto nastavení se index zcela znovu sestaví. Pro umístění indexu musí být použito úplné šifrování svazku (například BitLocker Drive Encryption nebo jiné řešení než Microsoft), aby se zachovalo zabezpečení šifrovaných souborů. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Search\Povolit indexování šifrovaných souborů Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `Search.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3	Neexistuje nebo = 0 _(Registr)	Upozorňující
Povolit, aby účty Microsoft byly volitelné _{(CCE-38354-7)}	Popis: Toto nastavení zásad umožňuje určit, jestli jsou účty Microsoft volitelné pro aplikace pro Windows Store, které vyžadují přihlášení k účtu. Tato zásada má vliv jenom na aplikace pro Windows Store, které ji podporují. Pokud povolíte toto nastavení zásad, aplikace pro Windows Store, které obvykle vyžadují přihlášení k účtu Microsoft, umožní uživatelům přihlásit se pomocí podnikového účtu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, uživatelé se budou muset přihlásit pomocí účtu Microsoft. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional Operační systém: WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Modul runtime aplikace\Povolit, aby účty Microsoft byly volitelné Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje se šablonou zásad skupiny AppXRuntime.admx/adml, která je součástí šablon pro správu Systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.6.1	= 1 _(Registr)	Upozorňující
Povolit nešifrovaný provoz _{(CCE-38223-4)}	Popis: Toto nastavení zásad umožňuje spravovat, jestli služba Vzdálená správa systému Windows (WinRM) odesílá a přijímá nešifrované zprávy přes síť. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Služba WinRM\Povolit nešifrovaný provoz Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `WindowsRemoteManagement.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3	Neexistuje nebo = 0 _(Registr)	Kritické
Povolit uživatelskou kontrolu nad instalacemi _{(CCE-36400-0)}	Popis: Umožňuje uživatelům změnit možnosti instalace, které jsou obvykle k dispozici pouze správcům systému. Funkce zabezpečení Instalační služby systému Windows brání uživatelům měnit možnosti instalace, které jsou obvykle vyhrazeny pro správce systému, například určit adresář, do kterého jsou soubory nainstalovány. Pokud Instalační služba systému Windows zjistí, že instalační balíček povolil uživateli změnit chráněnou možnost, zastaví instalaci a zobrazí zprávu. Tyto funkce zabezpečení fungují pouze v případech, kdy instalační program běží v privilegovaném kontextu zabezpečení, ve kterém má přístup k adresářům odepřen uživateli. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Instalační služba systému Windows\Povolit uživatelskou kontrolu nad instalacemi Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `MSI.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows bylo toto nastavení pojmenováno Povolit uživatelskou kontrolu nad instalacemi, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 a Server 2012 (ne R2). Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1	Neexistuje nebo = 0 _(Registr)	Kritické
Vždy instalovat se zvýšenými oprávněními _{(CCE-37490-0)}	Popis: Toto nastavení určuje, jestli má instalační služba systému Windows používat systémová oprávnění při instalaci libovolného programu v systému. Poznámka: Toto nastavení se zobrazí ve složkách Konfigurace počítače i Konfigurace uživatele. Pokud chcete toto nastavení nastavit jako efektivní, musíte toto nastavení povolit v obou složkách. Upozornění: Pokud je tato možnost povolená, můžou zkušení uživatelé využít oprávnění, která toto nastavení udělí, změnit svá oprávnění a získat trvalý přístup k souborům a složkám s omezeným přístupem. Všimněte si, že verze konfigurace uživatele tohoto nastavení není zaručená, že je zabezpečená. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace uživatele\Zásady\Šablony pro správu\Součásti systému Windows\Instalační služba systému Windows\Vždy nainstalovat se zvýšenými oprávněními Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `MSI.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2	Neexistuje nebo = 0 _(Registr)	Upozorňující
Vždy se při připojení zobrazovat výzva k zadání hesla _{(CCE-37929-7)}	Popis: Toto nastavení zásad určuje, jestli terminálová služba při připojení vždy vyzve klientský počítač k zadání hesla. Toto nastavení zásad můžete použít k vynucení výzvy k zadání hesla pro uživatele, kteří se přihlašují k Terminálové službě, i když už zadali heslo v klientovi připojení ke vzdálené ploše. Terminálové služby ve výchozím nastavení umožňují uživatelům, aby se automaticky přihlásili, pokud zadají heslo v klientovi připojení ke vzdálené ploše. Poznámka: Pokud toto nastavení zásad nenakonfigurujete, může správce místního počítače pomocí nástroje Konfigurace terminálové služby povolit nebo zabránit automatickému odesílání hesel. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fPromptForPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Při připojení vždy vyzvat k zadání hesla Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: V šablonách pro správu systému Microsoft Windows Vista bylo toto nastavení pojmenováno Vždy vyzvat klienta k zadání hesla při připojení, ale bylo přejmenováno počínaje šablonami pro správu systému Windows Server 2008 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.3.9.1	= 1 _(Registr)	Kritické
Aplikace: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti _{(CCE-37775-4)}	Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Aplikace\Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.1.1	Neexistuje nebo = 0 _(Registr)	Kritické
Aplikace: Zadejte maximální velikost souboru protokolu (kB). _{(CCE-37948-7)}	Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete v přírůstcích kilobajtů nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2147483647 kilobajtů). Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: 32,768 or greater`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Aplikace\Zadejte maximální velikost souboru protokolu (KB) Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.1.2	>= 32768 _(Registr)	Kritické
Blokování veškerého ověřování uživatelů účtu Microsoft pro uživatele _{(AZ-WIN-20198)}	Popis: Toto nastavení určuje, jestli aplikace a služby v zařízení můžou využívat ověřování nového účtu Microsoft pro uživatele prostřednictvím rozhraní Windows `OnlineID` a `WebAccountManager` rozhraní API. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth Operační systém: WS2016, WS2019 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Účty Microsoft\Blokovat ověřování uživatelů uživatelských účtů Microsoft Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1	= 1 _(Registr)	Kritické
Konfigurace přepsání místního nastavení pro generování sestav do Microsoft MAPS _{(AZ-WIN-00173)}	Popis: Toto nastavení zásad konfiguruje místní přepsání konfigurace pro připojení k Microsoft MAPS. Toto nastavení lze nastavit pouze podle zásad skupiny. Pokud toto nastavení povolíte, nastavení místní předvolby bude mít přednost před zásadami skupiny. Pokud toto nastavení zakážete nebo nenakonfigurujete, budou mít zásady skupiny přednost před místním nastavením předvoleb. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Windows Defender\MAPS\Konfigurace přepsání místního nastavení pro generování sestav do služby Microsoft MAPS Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona `WindowsDefender.admx/adml` zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1	Neexistuje nebo = 0 _(Registr)	Upozorňující
Konfigurace filtru SmartScreen pro Windows _{(CCE-35859-8)}	Popis: Toto nastavení zásad umožňuje spravovat chování filtru Windows SmartScreen. Filtr Windows SmartScreen pomáhá udržovat počítače v bezpečí tím, že uživatele upozorní před spuštěním nerozpoznaných programů stažených z internetu. Některé informace se odesílají do Microsoftu o souborech a programech spuštěných na počítačích s povolenou funkcí. Pokud povolíte toto nastavení zásad, chování filtru Windows SmartScreen může být řízeno nastavením jedné z následujících možností: * Před spuštěním staženého neznámého softwaru upozorněte uživatele * Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, chování filtru Windows SmartScreen spravuje správci na počítači pomocí nastavení filtru Windows SmartScreen v nastavení zabezpečení a údržby. Možnosti: * Dát uživateli upozornění před spuštěním staženého neznámého softwaru * Vypnout Filtr SmartScreen Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Upozornit a zabránit obejití: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Filtr SmartScreen v programu Windows Defender\Explorer\Konfigurovat filtr SmartScreen v programu Windows Defender: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytován šablonou zásad skupiny WindowsExplorer.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Konfigurovat filtr SmartScreen systému Windows, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 10 verze 1703. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.85.1.1	= 1 _(Registr)	Upozorňující
Zjištění změny z výchozího portu RDP _{(AZ-WIN-00156)}	Popis: Toto nastavení určuje, jestli byl síťový port, který naslouchá připojení ke vzdálené ploše, změněn z výchozí verze 3389. Cesta ke klíči: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Nejde použít Standardní mapování dodržování předpisů:	= 3389 _(Registr)	Kritické
Zakázání služby Windows Search _{(AZ-WIN-00176)}	Popis: Toto nastavení registru zakáže službu Windows Search. Cesta ke klíči: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Nejde použít Standardní mapování dodržování předpisů:	Neexistuje nebo = 4 _(Registr)	Kritické
Zakázat automatické přehrání pro zařízení bez svazků _{(CCE-37636-8)}	Popis: Toto nastavení zásad zakáže automatické přehrávání pro zařízení MTP, jako jsou kamery nebo telefony. Pokud povolíte toto nastavení zásad, automatické přehrání není povolené pro zařízení MTP, jako jsou kamery nebo telefony. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, povolí se automatické přehrání pro zařízení bez svazků. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání\Zakázat automatické přehrání pro zařízení bez svazků Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny AutoPlay.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.8.1	= 1 _(Registr)	Kritické
Zakázat ověřování hodnotou hash _{(CCE-38318-2)}	Popis: Toto nastavení zásad umožňuje spravovat, jestli klient vzdálené správy systému Windows (WinRM) nebude používat ověřování hodnotou hash. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Klient WinRM\Disallow Ověřování hodnotou hash Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `WindowsRemoteManagement.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3	= 0 _(Registr)	Kritické
Zákaz ukládání přihlašovacích údajů Spustit jako pro WinRM _{(CCE-36000-8)}	Popis: Toto nastavení zásad umožňuje spravovat, jestli služba Vzdálená správa systému Windows (WinRM) neumožňuje ukládání přihlašovacích údajů Spustit jako pro žádné moduly plug-in. Pokud toto nastavení zásad povolíte, služba WinRM nepovolí nastavení konfiguračních hodnot RunAsUser ani RunAsPassword pro všechny moduly plug-in. Pokud modul plug-in již nastavil konfigurační hodnoty RunAsUser a RunAsPassword, hodnota konfigurace RunAsPassword se vymaže z úložiště přihlašovacích údajů v tomto počítači. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, služba WinRM povolí nastavení konfiguračních hodnot RunAsUser a RunAsPassword pro moduly plug-in a hodnota RunAsPassword se bezpečně uloží. Pokud toto nastavení zásad povolíte a potom zakážete, bude potřeba resetovat všechny hodnoty, které byly dříve nakonfigurované pro RunAsPassword. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Služba WinRM\Zakázat ukládání přihlašovacích údajů Spustit jako Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny WindowsRemoteManagement.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.102.2.4	= 1 _(Registr)	Kritické
Nepovolit ukládání hesel _{(CCE-36223-6)}	Popis: Toto nastavení zásad pomáhá zabránit klientům Terminálové služby v ukládání hesel do počítače. Poznámka: Pokud bylo toto nastavení zásad dříve nakonfigurováno jako Zakázáno nebo Nenakonfigurováno, odstraní se všechna dříve uložená hesla při prvním odpojení klienta Terminálové služby od jakéhokoli serveru. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Klient připojení ke vzdálené ploše\Nepovolit ukládání hesel Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.2.2	= 1 _(Registr)	Kritické
Při ukončení neodstraňovat dočasné složky _{(CCE-37946-1)}	Popis: Toto nastavení zásad určuje, jestli služba Vzdálená plocha uchovává dočasné složky uživatele pro relaci při odhlášení. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Dočasné složky\Při ukončení neodstraňovat dočasné složky Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows bylo toto nastavení pojmenováno Neodstraňovat dočasnou složku při ukončení, ale byla přejmenována počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.3.11.1	Neexistuje nebo = 1 _(Registr)	Upozorňující
Nezobrazovat tlačítko pro zobrazení hesla _{(CCE-37534-5)}	Popis: Toto nastavení zásad umožňuje konfigurovat zobrazení tlačítka pro zobrazení hesla v uživatelských prostředích pro zadávání hesel. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Uživatelské rozhraní pověření\Nezobrazovat tlačítko pro zobrazení hesla Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny CredUI.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.16.1	= 1 _(Registr)	Upozorňující
Nezobrazovat oznámení zpětné vazby _{(AZ-WIN-00140)}	Popis: Toto nastavení zásad umožňuje organizaci zabránit v zobrazování dotazů na zpětnou vazbu od Microsoftu. Pokud toto nastavení zásad povolíte, nebudou se uživatelům zobrazovat oznámení zpětné vazby prostřednictvím aplikace Windows Feedback. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžou se uživatelům zobrazovat oznámení prostřednictvím aplikace Windows Feedback, která uživatele požádá o zpětnou vazbu. Poznámka: Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžou uživatelé řídit, jak často můžou dostávat otázky ke zpětné vazbě. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Shromažďování dat a buildy verze Preview\Nezobrazovat oznámení zpětné vazby Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona zásad skupiny FeedbackNotifications.admx/adml, která je součástí šablon pro správu Microsoft Windows 10 Release 1511 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.17.4	= 1 _(Registr)	Kritické
Nepoužívejte dočasné složky na relaci. _{(CCE-38180-6)}	Popis: Služba Vzdálená plocha ve výchozím nastavení vytvoří samostatnou dočasnou složku na serveru hostitele relace VP pro každou aktivní relaci, kterou uživatel udržuje na serveru hostitele relace VP. Dočasná složka se vytvoří na serveru hostitele relace VP ve složce Temp ve složce profilu uživatele a má název "sessionid". Tato dočasná složka se používá k ukládání jednotlivých dočasných souborů. Pokud chcete uvolnit místo na disku, dočasná složka se odstraní, když se uživatel odhlásí z relace. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\PerSessionTempDir OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Dočasné složky\Nepoužívat dočasné složky na relaci Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.3.11.2	Neexistuje nebo = 1 _(Registr)	Kritické
Vytvoření výčtu účtů správce při zvýšení oprávnění _{(CCE-36512-2)}	Popis: Toto nastavení zásad určuje, jestli se účty správců zobrazí, když se uživatel pokusí zvýšit úroveň spuštěné aplikace. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Uživatelské rozhraní Credential\Výčet účtů správce při zvýšení oprávnění Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `CredUI.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zabránit stahování skříní _{(CCE-37126-0)}	Popis: Toto nastavení zásad brání uživateli ve stahování příloh (příloh souborů) z informačního kanálu do počítače uživatele. Doporučený stav pro toto nastavení je: `Enabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Informační kanály RSS\Zabránit stahování skříní Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny InetRes.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení jmenovalo Vypnout stahování skříní, ale bylo přejmenováno od šablon pro správu systému Windows 8.0 a Server 2012 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.66.1	= 1 _(Registr)	Upozorňující
Vyžadovat zabezpečenou komunikaci RPC _{(CCE-37567-5)}	Popis: Určuje, jestli server hostitele relace vzdálené plochy vyžaduje zabezpečenou komunikaci RPC se všemi klienty nebo umožňuje nezabezpečenou komunikaci. Toto nastavení můžete použít k posílení zabezpečení komunikace RPC s klienty tím, že povolíte pouze ověřené a šifrované požadavky. Pokud je stav nastaven na Povoleno, vzdálená plocha přijímá požadavky od klientů RPC, které podporují zabezpečené požadavky, a neumožňuje nezabezpečenou komunikaci s nedůvěryhodnými klienty. Pokud je stav vypnutý, Služba Vzdálená plocha vždy požaduje zabezpečení pro veškerý provoz RPC. Nezabezpečená komunikace je však povolená pro klienty RPC, kteří na požadavek nereagují. Pokud je stav nastaven na Nenakonfigurováno, je povolená nezabezpečená komunikace. Poznámka: Rozhraní RPC slouží ke správě a konfiguraci služby Vzdálená plocha. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Vyžadovat zabezpečenou komunikaci RPC Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.3.9.2	= 1 _(Registr)	Kritické
Vyžadování ověřování uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě _{(AZ-WIN-00149)}	Popis: Vyžadování ověřování uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\UserAuthentication OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Vyžadovat ověřování uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: V šablonách pro správu systému Microsoft Windows Vista bylo toto nastavení původně pojmenováno Vyžadovat ověření uživatele pomocí protokolu RDP 6.0 pro vzdálená připojení, ale bylo přejmenováno od šablon pro správu systému Windows Server 2008 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.3.9.4	Neexistuje nebo = 1 _(Registr)	Kritické
Skenování vyměnitelných jednotek _{(AZ-WIN-00177)}	Popis: Toto nastavení zásad umožňuje spravovat, zda při spuštění úplné kontroly prohledávat škodlivý software a nežádoucí software v obsahu vyměnitelných disků, jako jsou usb flash disky. Pokud povolíte toto nastavení vyměnitelných jednotek, zkontroluje se během jakéhokoli typu kontroly. Pokud toto nastavení zakážete nebo nenakonfigurujete, nebudou při úplné kontrole zkontrolovány vyměnitelné jednotky. Vyměnitelné jednotky se můžou během rychlé kontroly a vlastní kontroly stále kontrolovat. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Windows Defender\Scan\Skenování vyměnitelných jednotek Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona `WindowsDefender.admx/adml` zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1	= 0 _(Registr)	Kritické
Zabezpečení: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti _{(CCE-37145-0)}	Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Zabezpečení\Řízení chování protokolu událostí při dosažení maximální velikosti souboru protokolu Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.2.1	Neexistuje nebo = 0 _(Registr)	Kritické
Zabezpečení: Zadejte maximální velikost souboru protokolu (KB) _{(CCE-37695-4)}	Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2 147 483 647 kilobajtů) v přírůstcích kilobajtů. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: 196,608 or greater`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Zabezpečení\Zadejte maximální velikost souboru protokolu (KB) Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.2.2	>= 196608 _(Registr)	Kritické
Odeslání ukázek souborů v případě, že je vyžadována další analýza _{(AZ-WIN-00126)}	Popis: Toto nastavení zásad konfiguruje chování odesílání ukázek při nastavení výslovného souhlasu s telemetrií MAPS. Možné možnosti jsou: (0x0) Vždy zobrazit výzvu (0x1) Automaticky odesílat bezpečné vzorky (0x2) Nikdy neodesílat (0x3) Automaticky odesílat všechny vzorky Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\MAPS\Odeslat ukázky souborů, pokud je vyžadována další analýza Standardní mapování dodržování předpisů:	= 1 _(Registr)	Upozorňující
Nastavení úrovně šifrování připojení klienta _{(CCE-36627-8)}	Popis: Toto nastavení zásad určuje, jestli počítač, který se chystá hostovat vzdálené připojení, bude vynucovat úroveň šifrování pro všechna data odesílaná mezi ním a klientským počítačem pro vzdálenou relaci. Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: High Level`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Nastavení úrovně šifrování připojení klienta Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.65.3.9.5	Neexistuje nebo = 3 _(Registr)	Kritické
Nastavení výchozího chování automatického spuštění _{(CCE-38217-6)}	Popis: Toto nastavení zásad nastavuje výchozí chování pro příkazy Autorun. Příkazy autorun jsou obecně uložené v souborech autorun.inf. Často spouští instalační program nebo jiné rutiny. Před systémem Windows Vista se při vložení média obsahujícího příkaz autorun automaticky spustí program bez zásahu uživatele. Tím se vytvoří velký problém se zabezpečením, protože kód se může spustit bez znalostí uživatele. Výchozí chování začínající systémem Windows Vista je vyzvat uživatele, zda má být spuštěn příkaz autorun. Příkaz autorun je reprezentován jako obslužná rutina v dialogovém okně automatického přehrávání. Pokud povolíte toto nastavení zásad, správce může změnit výchozí chování systému Windows Vista nebo novější pro autorun na: a) Zcela zakázat příkazy automatického spuštění nebo b) Vrátit zpět k chování systému Windows Vista automatického spuštění příkazu autorun. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, systém Windows Vista nebo novější zobrazí výzvu uživateli, zda má být spuštěn příkaz autorun. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: Do not execute any autorun commands`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání\Nastavení výchozího chování pro automatické spuštění Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny AutoPlay.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.8.2	= 1 _(Registr)	Kritické
Nastavení: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti _{(CCE-38276-2)}	Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Nastavení\Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.3.1	Neexistuje nebo = 0 _(Registr)	Kritické
Nastavení: Zadejte maximální velikost souboru protokolu (KB) _{(CCE-37526-1)}	Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2 147 483 647 kilobajtů) v přírůstcích kilobajtů. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: 32,768 or greater`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Nastavení\Zadejte maximální velikost souboru protokolu (KB) Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.3.2	>= 32768 _(Registr)	Kritické
Přihlášení posledního interaktivního uživatele automaticky po restartování zahájeném systémem _{(CCE-36977-7)}	Popis: Toto nastavení zásad určuje, jestli se zařízení po služba Windows Update restartuje systém automaticky při přihlášení posledního interaktivního uživatele. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn Operační systém: WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled:` Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Možnosti přihlášení systému Windows\Přihlášení poslední interaktivní uživatel automaticky po restartování zahájeném systémem Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona `WinLogon.admx/adml` zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1	= 1 _(Registr)	Kritické
Zadejte interval pro kontrolu aktualizací definic. _{(AZ-WIN-00152)}	Popis: Toto nastavení zásad umožňuje zadat interval, ve kterém se mají kontrolovat aktualizace definic. Hodnota času je reprezentována jako počet hodin mezi kontrolami aktualizace. Platné hodnoty jsou v rozsahu od 1 (každou hodinu) do 24 (jednou za den). Pokud toto nastavení povolíte, bude kontrola aktualizací definic probíhat v zadaném intervalu. Pokud toto nastavení zakážete nebo nenakonfigurujete, bude kontrola aktualizací definic probíhat ve výchozím intervalu. Cesta ke klíči: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval Operační systém: WS2008, WS2008R2, WS2012, WS2012R2 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Aktualizace security intelligence\Zadejte interval pro kontrolu aktualizací security intelligence. Standardní mapování dodržování předpisů:	8= _(Registr)	Kritické
Systém: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti _{(CCE-36160-0)}	Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Systém\Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.4.1	Neexistuje nebo = 0 _(Registr)	Kritické
Systém: Zadejte maximální velikost souboru protokolu (KB) _{(CCE-36092-5)}	Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2 147 483 647 kilobajtů) v přírůstcích kilobajtů. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: 32,768 or greater`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Systém\Zadejte maximální velikost souboru protokolu (KB) Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.27.4.2	>= 32768 _(Registr)	Kritické
Inventář programu kompatibility aplikací musí být znemožněno shromažďování dat a odesílání informací společnosti Microsoft. _{(AZ-WIN-73543)}	Popis: Některé funkce můžou komunikovat s dodavatelem, odesílat informace o systému nebo stahovat data nebo komponenty pro tuto funkci. Vypnutím této funkce zabráníte odesílání potenciálně citlivých informací mimo podnik a zabráníte nekontrolovatelným aktualizacím systému. Toto nastavení zabrání inventarizaci programu ve shromažďování dat o systému a odesílání informací společnosti Microsoft. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory Operační systém: WS2016, WS2019, WS2022 Typ serveru: Člen domény Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Kompatibilita aplikací\Vypnout kolekci inventáře Standardní mapování dodržování předpisů:	= 1 _(Registr)	Informační
Vypnutí automatického přehrávání _{(CCE-36875-3)}	Popis: Automatické přehrávání začne číst z jednotky hned po vložení média do jednotky, což způsobí okamžité spuštění instalačního souboru pro programy nebo zvukové médium. Útočník by tuto funkci mohl použít ke spuštění programu, který by poškodil počítač nebo data v počítači. Pokud chcete funkci automatického přehrávání zakázat, můžete povolit nastavení Vypnout automatické přehrávání. Automatické přehrání je ve výchozím nastavení zakázané u některých vyměnitelných typů jednotek, například diskety a síťových jednotek, ale ne na jednotkách CD-ROM. Poznámka: Toto nastavení zásad nelze použít k povolení automatického přehrávání na počítačových jednotkách, ve kterých je ve výchozím nastavení zakázána, například diskety a síťové jednotky. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled: All drives`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání\Vypnout automatické přehrání Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny AutoPlay.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.8.3	= 255 _(Registr)	Kritické
Vypnutí prevence spouštění dat pro Průzkumníka _{(CCE-37809-1)}	Popis: Zakázání prevence spuštění dat může určitým starším aplikacím plug-in umožnit fungování bez ukončení Průzkumníka. Doporučený stav pro toto nastavení je: `Disabled`. Poznámka: Některé starší aplikace modulů plug-in a jiný software nemusí fungovat s zabráněním spuštění dat a budou vyžadovat výjimku, která se má definovat pro tento konkrétní modul plug-in nebo software. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Průzkumník souborů\Vypnout ochranu před spuštěním dat pro Průzkumníka Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona `Explorer.admx/adml` zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 7 &Server 2008 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2	Neexistuje nebo = 0 _(Registr)	Kritické
Vypnutí ukončení haldy při poškození _{(CCE-36660-9)}	Popis: Bez ukončení haldy při poškození můžou starší aplikace plug-in nadále fungovat, když dojde k poškození Průzkumník souborů relace. Zajistěte, aby ukončení haldy při poškození bylo aktivní, zabrání tomu. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Průzkumník souborů\Vypnutí ukončení haldy při poškození Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `Explorer.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3	Neexistuje nebo = 0 _(Registr)	Kritické
Vypnutí uživatelských prostředí Microsoftu _{(AZ-WIN-00144)}	Popis: Toto nastavení zásad vypne možnosti, které uživatelům pomůžou využívat zařízení a účet Microsoft na maximum. Pokud toto nastavení zásad povolíte, uživatelé už neuvidí přizpůsobená doporučení od Microsoftu a oznámení o svém účtu Microsoft. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžou se uživatelům zobrazovat návrhy od Microsoftu a oznámení o svém účtu Microsoft. Poznámka: Toto nastavení platí jenom pro skladové položky Enterprise a Education. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\CloudOvý obsah\Vypnout uživatelské prostředí Microsoftu Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny CloudContent.admx/adml, která je součástí šablon pro správu Microsoft Windows 10 Release 1511 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.14.2	Neexistuje nebo = 1 _(Registr)	Upozorňující
Vypnutí režimu chráněného protokolem prostředí _{(CCE-36809-2)}	Popis: Toto nastavení zásad umožňuje nakonfigurovat množství funkcí, které může mít protokol prostředí. Při použití úplné funkce této aplikace protokolu mohou otevírat složky a spouštět soubory. Chráněný režim snižuje funkčnost tohoto protokolu, což umožňuje aplikacím otevírat pouze omezenou sadu složek. Aplikace nemůžou otevírat soubory s tímto protokolem, pokud jsou v chráněném režimu. Doporučujeme nechat tento protokol v chráněném režimu, aby se zvýšilo zabezpečení Systému Windows. Doporučený stav pro toto nastavení je: `Disabled`. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Disabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Průzkumník souborů\Vypnutí režimu chráněného protokolem prostředí Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou `WindowsExplorer.admx/adml` zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Standardní mapování dodržování předpisů: ID názvovéplatformy STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zapnutí monitorování chování _{(AZ-WIN-00178)}	Popis: Toto nastavení zásad umožňuje konfigurovat monitorování chování. Pokud povolíte nebo nenakonfigurujete toto monitorování chování nastavení, bude povoleno. Pokud toto nastavení zakážete, bude monitorování chování zakázané. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableBehaviorMonitoring Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na `Enabled`: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Windows Defender\Ochrana v reálném čase\Zapnout monitorování chování Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona `WindowsDefender.admx/adml` zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější). Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3	Neexistuje nebo = 0 _(Registr)	Upozorňující
Zapnutí protokolování bloku skriptu PowerShellu _{(AZ-WIN-73591)}	Popis: Toto nastavení zásad umožňuje protokolování veškerého vstupu skriptu PowerShellu `Applications and Services Logs\Microsoft\Windows\PowerShell\Operational` do kanálu protokolu událostí. Doporučený stav pro toto nastavení je: `Enabled`. Poznámka: Pokud je protokolování událostí spuštění/zastavení bloku skriptu povolené (zaškrtnuto políčko s možností), PowerShell zaznamená další události při vyvolání příkazu, bloku skriptu, funkce nebo spuštění nebo zastavení skriptu. Povolením této možnosti se vygeneruje velký objem protokolů událostí. CIS záměrně nevyvolila doporučení pro tuto možnost, protože generuje velký objem událostí. Pokud se organizace rozhodne povolit volitelné (zaškrtnuté) nastavení, odpovídá také srovnávacímu testu. Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging Operační systém: WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény, člen pracovní skupiny Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Windows PowerShell\Zapnutí protokolování bloku skriptu PowerShellu Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1	= 1 _(Registr)	Důležité

Nastavení Windows – Nastavení zabezpečení

Název _(ID)	Detaily	Očekávaná hodnota _(Typ)	Závažnost
Upravit kvóty paměti pro proces _{(CCE-10849-8)}	Popis: Toto nastavení zásad umožňuje uživateli upravit maximální velikost paměti, která je k dispozici pro proces. Schopnost upravit kvóty paměti je užitečná pro ladění systému, ale může být zneužita. V nesprávných rukou by se dal použít ke spuštění útoku doS (DoS). Doporučený stav pro toto nastavení je: `Administrators, LOCAL SERVICE, NETWORK SERVICE`. Poznámka: Členský server, který obsahuje roli webového serveru (IIS) se službou rolí webového serveru , bude vyžadovat zvláštní výjimku tohoto doporučení, aby bylo povoleno udělení tohoto uživatelského práva fondu aplikací služby IIS. Poznámka č. 2: Členský server s nainstalovaným Microsoft SQL Serverem bude vyžadovat zvláštní výjimku tohoto doporučení pro udělení tohoto uživatelského práva dalším položkám vygenerovaným systémem SQL. Cesta ke klíči: [Práva oprávnění]SeIncreaseQuotaPrivilege OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serveru: Řadič domény, člen domény Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Úprava kvót paměti pro proces Standardní mapování dodržování předpisů: ID názvovéplatformy CIS WS2022 2.2.6 CIS WS2019 2.2.6	<= Administrators, Local Service, Network Service _(Zásady)	Upozorňující

Poznámka:

Dostupnost konkrétních nastavení konfigurace hosta služby Azure Policy se může lišit v Azure Government a dalších národních cloudech.

Další kroky

Další články o službě Azure Policy a konfiguraci hosta:

Konfigurace hosta služby Azure Policy
Přehled dodržování právních předpisů
Projděte si další příklady v ukázkách služby Azure Policy.
Projděte si Vysvětlení efektů zásad.
Zjistěte, jak napravit nevyhovující prostředky.

Sdílet prostřednictvím

Standardní hodnoty zabezpečení Windows

Zásady účtu – zásady hesel

Šablona pro správu – Windows Defender

Šablony pro správu – Ovládací panely

Šablony pro správu – Průvodce zabezpečením MS

Šablony pro správu – MSS

Šablony pro správu – síť

Šablony pro správu – Průvodce zabezpečením

Šablony pro správu – systém

Šablony pro správu – součást systému Windows

Šablony pro správu – Součásti systému Windows

Šablony pro správu – Zabezpečení Windows

Šablona pro správu – Windows Defender

Auditovat správu účtů počítače

Zabezpečené jádro

Možnosti zabezpečení – Účty

Možnosti zabezpečení – Audit

Možnosti zabezpečení – Zařízení

Možnosti zabezpečení – člen domény

Možnosti zabezpečení – Interaktivní přihlášení

Možnosti zabezpečení – Klient sítě Microsoft

Možnosti zabezpečení – Microsoft Network Server

Možnosti zabezpečení – Přístup k síti

Možnosti zabezpečení – Zabezpečení sítě

Možnosti zabezpečení – Vypnutí

Možnosti zabezpečení – Kryptografie systému

Možnosti zabezpečení – Systémové objekty

Možnosti zabezpečení – Nastavení systému

Možnosti zabezpečení – Řízení uživatelských účtů

Nastavení zabezpečení – Zásady účtu

Nastavení zabezpečení – Brána Windows Firewall

Zásady auditu systému – Přihlášení k účtu

Zásady auditu systému – Správa účtů

Zásady auditu systému – podrobné sledování

Zásady auditu systému – Přístup k ds

Zásady auditu systému – Přihlášení – Odhlášení

Zásady auditu systému – Přístup k objektům

Zásady auditu systému – Změna zásad

Zásady auditu systému – Použití oprávnění

Zásady auditu systému – Systém

Přiřazení uživatelských práv

Součásti systému Windows

Nastavení Windows – Nastavení zabezpečení

Další kroky

Váš názor

Další materiály