Baseline di sicurezza di Windows
Questo articolo illustra in dettaglio le impostazioni di configurazione per gli utenti guest di Windows, come applicabile nelle implementazioni seguenti:
- [Anteprima]: i computer Windows devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure Criteri di Azure definizione di configurazione guest
- Le vulnerabilità nella configurazione di sicurezza nei computer devono essere risolte in Centro sicurezza di Azure
Per altre informazioni, vedere Configurazione del computer di gestione automatica di Azure.
Importante
Criteri di Azure configurazione guest si applica solo allo SKU di Windows Server e allo SKU di Azure Stack. Non si applica alle risorse di calcolo degli utenti finali, ad esempio GLI SKU di Windows 10 e Windows 11.
Criteri password dei criteri dell'account
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Durata blocco account (AZ-WIN-73312) |
Descrizione: questa impostazione di criterio determina il periodo di tempo che deve trascorrere prima che un account bloccato venga sbloccato e un utente può provare di nuovo ad accedere. L'impostazione esegue questa operazione specificando il numero di minuti in cui un account bloccato rimarrà non disponibile. Se il valore per questa impostazione di criterio è configurato su 0, gli account bloccati rimarranno bloccati fino a quando un amministratore non li sblocca manualmente. Anche se potrebbe sembrare una buona idea configurare il valore per questa impostazione di criterio su un valore elevato, tale configurazione aumenterà probabilmente il numero di chiamate ricevute dall'help desk per sbloccare gli account bloccati per errore. Gli utenti devono essere consapevoli del periodo di tempo in cui un blocco rimane sul posto, in modo che si rendano conto di dover chiamare l'help desk solo se hanno un bisogno estremamente urgente di recuperare l'accesso al computer. Lo stato consigliato per questa impostazione è: 15 or more minute(s) . Nota: le impostazioni dei criteri password (sezione 1.1) e le impostazioni dei criteri di blocco dell'account (sezione 1.2) devono essere applicate tramite l'oggetto Criteri di gruppo dei criteri di dominio predefiniti per rendere effettive a livello globale gli account utente di dominio come comportamento predefinito. Se queste impostazioni sono configurate in un altro oggetto Criteri di gruppo, avranno effetto solo sugli account utente locali nei computer che ricevono l'oggetto Criteri di gruppo. Tuttavia, le eccezioni personalizzate ai criteri password predefiniti e alle regole dei criteri di blocco dell'account per utenti e/o gruppi di dominio specifici possono essere definite usando oggetti impostazioni password (PSO), completamente separati da Criteri di gruppo e configurati più facilmente tramite il Centro di amministrazione di Active Directory.Percorso chiave: [Accesso al sistema]LockoutDuration Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco account\Durata blocco account Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (Criterio) |
Avviso |
Modello amministrativo - Window Defender
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Configurare il rilevamento per applicazioni potenzialmente indesiderate (AZ-WIN-202219) |
Descrizione: questa impostazione di criterio controlla il rilevamento e l'azione per applicazioni potenzialmente indesiderate (PUA), che sono bundler di applicazioni indesiderate sneaky o le loro applicazioni in bundle, che possono distribuire adware o malware. Lo stato consigliato per questa impostazione è: Enabled: Block . Per altre informazioni, vedere questo collegamento: Bloccare applicazioni potenzialmente indesiderate con Antivirus Microsoft Defender | Microsoft DocsPercorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Configura rilevamento per applicazioni potenzialmente indesiderate Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (Registro di sistema) |
Critico |
Analizza tutti i file e gli allegati scaricati (AZ-WIN-202221) |
Descrizione: questa impostazione di criterio consente di configurare l'analisi di tutti i file e gli allegati scaricati. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: Software\Policies\Microsoft\Windows Defender\Protezione in tempo reale\DisableIOAVProtection Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Protezione in tempo reale\Analizza tutti i file e gli allegati scaricati Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
=0 (Registro di sistema) |
Avviso |
Disattivare Microsoft Defender AntiVirus (AZ-WIN-202220) |
Descrizione: questa impostazione di criterio disattiva Antivirus Microsoft Defender. Se l'impostazione è configurata su Disabilitato, Antivirus Microsoft Defender esecuzioni e i computer vengono analizzati per individuare malware e altri software potenzialmente indesiderati. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Disattiva Microsoft Defender AntiVirus Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
=0 (Registro di sistema) |
Critico |
Disattivare la protezione in tempo reale (AZ-WIN-202222) |
Descrizione: questa impostazione dei criteri configura le richieste di protezione in tempo reale per il rilevamento di malware noti. Antivirus Microsoft Defender avvisa l'utente quando malware o software potenzialmente indesiderato tenta di installare se stesso o di eseguire nel computer. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: Software\Policies\Microsoft\Windows Defender\Protezione in tempo reale\DisableRealtimeMonitoring Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Protezione in tempo reale\Disattiva protezione in tempo reale Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
=0 (Registro di sistema) |
Avviso |
Attivare l'analisi dei messaggi di posta elettronica (AZ-WIN-202218) |
Descrizione: questa impostazione di criterio consente di configurare l'analisi della posta elettronica. Quando l'analisi della posta elettronica è abilitata, il motore analizzerà la cassetta postale e i file di posta elettronica, in base al formato specifico, per analizzare i corpi di posta e gli allegati. Sono attualmente supportati diversi formati di posta elettronica, ad esempio pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Scan\Attiva analisi posta elettronica Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
=0 (Registro di sistema) |
Avviso |
Attivare l'analisi degli script (AZ-WIN-202223) |
Descrizione: questa impostazione di criterio consente l'attivazione/disattivazione dell'analisi degli script. L'analisi degli script intercetta gli script quindi li analizza prima di essere eseguiti nel sistema. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: Software\Policies\Microsoft\Windows Defender\Protezione in tempo reale\DisableScriptScanning Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Protezione in tempo reale\Attiva analisi script Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
=0 (Registro di sistema) |
Avviso |
Modelli amministrativi - Pannello di controllo
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Consenti personalizzazione input (AZ-WIN-00168) |
Descrizione: questo criterio abilita il componente di apprendimento automatico della personalizzazione dell'input che include riconoscimento vocale, input penna e digitazione. L'apprendimento automatico consente la raccolta di modelli di riconoscimento vocale e grafia, cronologia di digitazione, contatti e informazioni recenti sul calendario. È obbligatorio per l'uso di Cortana. Alcune di queste informazioni raccolte possono essere archiviate in OneDrive dell'utente, nel caso di input penna e digitazione; alcune delle informazioni verranno caricate in Microsoft per personalizzare la voce. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled : Configurazione computer\Criteri\Modelli amministrativi\Pannello di controllo\Opzioni internazionali e della lingua\Consenti agli utenti di abilitare i servizi di riconoscimento vocale online Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello Criteri di gruppo Globalization.admx/adml incluso in Microsoft Windows 10 RTM (versione 1507) Modelli amministrativi (o versione successiva). Nota 2: nelle versioni precedenti dei modelli amministrativi di Microsoft Windows questa impostazione è stata inizialmente denominata Consenti personalizzazione input, ma è stata rinominata Consenti agli utenti di abilitare i servizi di riconoscimento vocale online a partire dai modelli amministrativi di Windows 10 R1809 & Server 2019.Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.1.2.2 |
=0 (Registro di sistema) |
Avviso |
Modelli amministrativi - Guida alla sicurezza di MS
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Disabilitare il client SMB v1 (rimuovere la dipendenza da LanmanWorkstation) (AZ-WIN-00122) |
Descrizione: SMBv1 è un protocollo legacy che usa l'algoritmo MD5 come parte di SMB. MD5 è noto come vulnerabile a diversi attacchi, ad esempio attacchi di collisione e preimmagine, oltre a non essere conformi a FIPS. Percorso chiave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService Sistema operativo: WS2008, WS2008R2, WS2012 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: Configurazione computer\Modelli amministrativi\Guida alla sicurezza MS\Configurare il driver client SMBv1 Mapping standard di conformità: |
Non esiste o = Bowser\0MRxSmb20\0NSI\0\0 (Registro di sistema) |
Critico |
Autenticazione WDigest (AZ-WIN-73497) |
Descrizione: quando l'autenticazione WDigest è abilitata, Lsass.exe mantiene una copia della password di testo non crittografato dell'utente in memoria, in cui può essere a rischio di furto. Se questa impostazione non è configurata, l'autenticazione WDigest è disabilitata in Windows 8.1 e in Windows Server 2012 R2; è abilitato per impostazione predefinita nelle versioni precedenti di Windows e Windows Server. Per altre informazioni sugli account locali e sul furto di credenziali, vedere i documenti "Mitigazione degli attacchi Pass-the-Hash (PtH) e altre tecniche di furto di credenziali". Per altre informazioni su UseLogonCredential , vedere l'articolo della Microsoft Knowledge Base 2871997: Microsoft Security Advisory Update per migliorare la protezione e la gestione delle credenziali 13 maggio 2014. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential SISTEMA OPERATIVO: WS2016, WS2019 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Guida alla sicurezza MS\WDigest Authentication (la disabilitazione potrebbe richiedere KB2871997) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
=0 (Registro di sistema) |
Importante |
Modelli amministrativi - MSS
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
MSS: (DisableIPSourceRouting IPv6) Livello di protezione del routing IP di origine (protegge da spoofing di pacchetti) (AZ-WIN-202213) |
Descrizione: il routing dell'origine IP è un meccanismo che consente al mittente di determinare la route IP che un datagram deve seguire attraverso la rete. Lo stato consigliato per questa impostazione è: Enabled: Highest protection, source routing is completely disabled .Percorso chiave: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\MSS (legacy)\MSS: (DisableIPSourceRouting IPv6) Livello di protezione del routing ip di origine IP (protegge da spoofing di pacchetti) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (Registro di sistema) |
Informazioni |
MSS: (DisableIPSourceRouting) Livello di protezione del routing IP di origine (protegge da spoofing dei pacchetti) (AZ-WIN-202244) |
Descrizione: il routing dell'origine IP è un meccanismo che consente al mittente di determinare la route IP che un datagram deve attraversare la rete. È consigliabile configurare questa impostazione su Non definito per gli ambienti aziendali e su Protezione più elevata per gli ambienti con sicurezza elevata per disabilitare completamente il routing di origine. Lo stato consigliato per questa impostazione è: Enabled: Highest protection, source routing is completely disabled .Percorso chiave: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\MSS (legacy)\MSS: (DisableIPSourceRouting) Livello di protezione del routing dell'origine IP (protegge da spoofing pacchetti) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (Registro di sistema) |
Informazioni |
MSS: (NoNameReleaseOnDemand) Consentire al computer di ignorare le richieste di rilascio dei nomi NetBIOS ad eccezione dei server WINS (AZ-WIN-202214) |
Descrizione: NetBIOS su TCP/IP è un protocollo di rete che, tra le altre cose, consente di risolvere facilmente i nomi NetBIOS registrati nei sistemi basati su Windows agli indirizzi IP configurati in tali sistemi. Questa impostazione determina se il computer rilascia il nome NetBIOS quando riceve una richiesta di rilascio dei nomi. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\MSS (legacy)\MSS: (NoNameReleaseOnDemand) Consentire al computer di ignorare le richieste di rilascio dei nomi NetBIOS ad eccezione dei server WINS Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (Registro di sistema) |
Informazioni |
MSS: (SafeDllSearchMode) Abilitare la modalità di ricerca DLL sicura (scelta consigliata) (AZ-WIN-202215) |
Descrizione: l'ordine di ricerca DLL può essere configurato per la ricerca di DLL richieste dall'esecuzione di processi in uno dei due modi seguenti: - Cercare prima le cartelle specificate nel percorso di sistema e quindi cercare la cartella di lavoro corrente. - Cercare prima la cartella di lavoro corrente e quindi cercare le cartelle specificate nel percorso di sistema. Se abilitato, il valore del Registro di sistema è impostato su 1. Con un'impostazione pari a 1, il sistema cerca innanzitutto le cartelle specificate nel percorso di sistema e quindi cerca nella cartella di lavoro corrente. Se disabilitato, il valore del Registro di sistema è impostato su 0 e il sistema cerca innanzitutto la cartella di lavoro corrente e quindi cerca le cartelle specificate nel percorso di sistema. Le applicazioni verranno forzate a cercare le DLL nel percorso di sistema. Per le applicazioni che richiedono versioni univoche di queste DLL incluse nell'applicazione, questa voce potrebbe causare problemi di prestazioni o stabilità. Lo stato consigliato per questa impostazione è: Enabled . Nota: altre informazioni sul funzionamento della modalità di ricerca DLL sicura sono disponibili in questo collegamento: Ordine di ricerca libreria a collegamento dinamico - Applicazioni Windows | Microsoft DocsPercorso chiave: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\MSS (legacy)\MSS: (SafeDllSearchMode) Abilita modalità di ricerca DLL sicura (scelta consigliata) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (Registro di sistema) |
Avviso |
MSS: (WarningLevel) Soglia percentuale per il registro eventi di sicurezza in corrispondenza del quale il sistema genererà un avviso (AZ-WIN-202212) |
Descrizione: questa impostazione può generare un controllo di sicurezza nel registro eventi di sicurezza quando il log raggiunge una soglia definita dall'utente. Lo stato consigliato per questa impostazione è: Enabled: 90% or less . Nota: se le impostazioni del log sono configurate per sovrascrivere gli eventi in base alle esigenze o Sovrascrivere eventi precedenti a x giorni, questo evento non verrà generato.Percorso chiave: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\MSS (legacy)\MSS: (WarningLevel) Soglia percentuale per il registro eventi di sicurezza in corrispondenza del quale il sistema genererà un avviso Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (Registro di sistema) |
Informazioni |
Windows Server deve essere configurato per impedire che i reindirizzamenti ICMP (Internet Control Message Protocol) eseguano l'override delle route generate da OSPF (Open Shortest Path First). (AZ-WIN-73503) |
Descrizione: i reindirizzamenti ICMP (Internet Control Message Protocol) causano lo stack IPv4 alle route host idrauliche. Queste route eseguono l'override delle route generate da Open Shortest Path First (OSPF). Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\MSS (legacy)\MSS: (EnableICMPRedirect) Consenti reindirizzamenti ICMP per eseguire l'override delle route generate da OSPF Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
=0 (Registro di sistema) |
Informazioni |
Modelli amministrativi - Rete
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Abilita gli accessi guest non sicuri (AZ-WIN-00171) |
Descrizione: questa impostazione di criterio determina se il client SMB consentirà accessi guest non sicuri a un server SMB. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi etwork\Lanman Workstation\Enable insecure guest logons Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "LanmanWorkstation.admx/adml" incluso nei modelli amministrativi di Microsoft Windows 10 Release 1511 (o versioni successive). Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
=0 (Registro di sistema) |
Critico |
Percorsi UNC con protezione avanzata - NETLOGON (AZ_WIN_202250) |
Descrizione: questa impostazione dei criteri configura l'accesso sicuro ai percorsi UNC Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Modelli amministrativi\Rete\Provider di rete\Percorsi UNC con protezione avanzata Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Registro di sistema) |
Avviso |
Percorsi UNC con protezione avanzata - SYSVOL (AZ_WIN_202251) |
Descrizione: questa impostazione dei criteri configura l'accesso sicuro ai percorsi UNC Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Modelli amministrativi\Rete\Provider di rete\Percorsi UNC con protezione avanzata Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Registro di sistema) |
Avviso |
Ridurre al minimo il numero di connessioni simultanee a Internet o a un dominio Windows (CCE-38338-0) |
Descrizione: questa impostazione di criterio impedisce ai computer di connettersi contemporaneamente a una rete basata su dominio e a una rete non basata su dominio. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: 3 = Prevent Wi-Fi when on Ethernet :Configurazione computer\Criteri\Modelli amministrativi etwork\Windows Gestione connessioni\Riduci al minimo il numero di connessioni simultanee a Internet o a un dominio Windows Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "WCM.admx/adml" incluso nei modelli amministrativi di Microsoft Windows 8.0 & Server 2012 (non R2). È stato aggiornato con una nuova sottoinsieme Opzioni criteri a icona a partire dai modelli amministrativi di Windows 10 Release 1903. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.5.21.1 |
Non esiste o = 1 (Registro di sistema) |
Avviso |
Impedire l'installazione e la configurazione di Network Bridge nella rete di dominio DNS (CCE-38002-2) |
Descrizione: è possibile usare questa procedura per controllare la capacità dell'utente di installare e configurare un bridge di rete. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Rete\Connessioni di rete\Proibire l'installazione e la configurazione di Network Bridge nella rete di dominio DNS Nota: questo percorso di Criteri di gruppo viene fornito dal modello NetworkConnections.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
=0 (Registro di sistema) |
Avviso |
Impedire l'uso della condivisione connessione Internet nella rete di dominio DNS (AZ-WIN-00172) |
Descrizione: anche se questa impostazione "legacy" tradizionalmente applicata all'uso della condivisione connessione Internet (ICS) in Windows 2000, Windows XP & Server 2003, questa impostazione si applica ora di recente alla funzionalità Hotspot mobile in Windows 10 & Server 2016. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi etwork etwork Connections\Prohibit use of Internet Connection Sharing on your DNS domain network Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo "NetworkConnections.admx/adml" incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.5.11.3 |
=0 (Registro di sistema) |
Avviso |
Disattiva risoluzione dei nomi multicast (AZ-WIN-00145) |
Descrizione: LLMNR è un protocollo di risoluzione dei nomi secondario. Con LLMNR, le query vengono inviate tramite multicast su un collegamento di rete locale in una singola subnet da un computer client a un altro computer client nella stessa subnet in cui è abilitato anche LLMNR. LLMNR non richiede una configurazione del server DNS o del client DNS e fornisce la risoluzione dei nomi negli scenari in cui la risoluzione dei nomi DNS convenzionale non è possibile. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi etwork\DNS Client\Disattiva risoluzione dei nomi multicast Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "DnsClient.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.5.4.2 |
=0 (Registro di sistema) |
Avviso |
Modelli amministrativi - Guida alla sicurezza
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Abilitare la protezione sovrascrittura della gestione delle eccezioni strutturate (SEHOP) (AZ-WIN-202210) |
Descrizione: Windows include il supporto per La gestione delle eccezioni strutturate Sovrascrivi protezione (SEHOP). È consigliabile abilitare questa funzionalità per migliorare il profilo di sicurezza del computer. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Guida alla sicurezza MS\Abilita gestione delle eccezioni strutturate Sovrascrivi protezione (SEHOP) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
=0 (Registro di sistema) |
Critico |
Configurazione di NodeType NetBT (AZ-WIN-202211) |
Descrizione: questa impostazione determina il metodo NetBIOS su TCP/IP (NetBT) usato per registrare e risolvere i nomi. I metodi disponibili sono: - Il metodo B-node (broadcast) usa solo le trasmissioni. - Il metodo P-node (da punto a punto) usa solo query sui nomi in un server dei nomi (WINS). - Il metodo M-node (misto) trasmette prima di tutto, quindi esegue una query su un server dei nomi (WINS) se la trasmissione non riesce. - Il metodo H-node (ibrido) esegue prima una query su un server dei nomi (WINS), quindi trasmette se la query non è riuscita. Lo stato consigliato per questa impostazione è: Enabled: P-node (recommended) (da punto a punto). Nota: la risoluzione tramite LMHOSTS o DNS segue questi metodi. Se il valore del Registro di sistema è presente, esegue l'override NodeType di qualsiasi DhcpNodeType valore del Registro di sistema. Se non NodeType è presente né DhcpNodeType né, il computer usa B-node (broadcast) se non sono configurati server WINS per la rete o nodo H (ibrido) se è configurato almeno un server WINS.Percorso chiave: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Guida alla sicurezza MS\Configurazione nodeType NetBT Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (Registro di sistema) |
Avviso |
Modelli amministrativi - Sistema
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Impedisci all'utente di visualizzare i dettagli dell'account durante l'accesso (AZ-WIN-00138) |
Descrizione: questo criterio impedisce all'utente di visualizzare i dettagli dell'account (indirizzo di posta elettronica o nome utente) nella schermata di accesso. Se si abilita questa impostazione di criterio, l'utente non può scegliere di visualizzare i dettagli dell'account nella schermata di accesso. Se si disabilita o non si configura questa impostazione di criterio, l'utente può scegliere di visualizzare i dettagli dell'account nella schermata di accesso. Percorso chiave: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Logon\Impedisci all'utente di visualizzare i dettagli dell'account durante l'accesso Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "Logon.admx/adml" incluso in Microsoft Windows 10 Release 1607 & Server 2016 Administrative Templates (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.28.1 |
= 1 (Registro di sistema) |
Avviso |
Criteri di inizializzazione del driver di avvio (CCE-37912-3) |
Descrizione: questa impostazione di criterio consente di specificare quali driver di avvio vengono inizializzati in base a una classificazione determinata da un driver di avvio antimalware di avvio anticipato. Il driver di avvio antimalware di avvio anticipato può restituire le classificazioni seguenti per ogni driver di avvio: - Buono: Il driver è stato firmato e non è stato manomesso. - Errato: il driver è stato identificato come malware. È consigliabile non consentire l'inizializzazione di driver non corretti noti. - Non valido, ma necessario per l'avvio: il driver è stato identificato come malware, ma il computer non può avviare correttamente senza caricare questo driver. - Sconosciuto: questo driver non è stato attestato dall'applicazione di rilevamento malware e non è stato classificato dal driver di avvio antimalware antimalware di avvio anticipato. Se si abilita questa impostazione di criterio, sarà possibile scegliere quali driver di avvio di avvio inizializzare al successivo avvio del computer. Se si disabilita o non si configura questa impostazione di criterio, i driver di avvio di avvio sono determinati come Good, Unknown o Bad but Boot Critical vengono inizializzati e l'inizializzazione dei driver determinata come Non valida viene ignorata. Se l'applicazione di rilevamento malware non include un driver di avvio antimalware di avvio anticipato o se il driver di avvio antimalware per l'avvio anticipato è stato disabilitato, questa impostazione non ha alcun effetto e tutti i driver di avvio di avvio vengono inizializzati. Percorso chiave: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: Good, unknown and bad but critical :Configurazione computer\Policies\Administrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "EarlyLaunchAM.admx/adml" incluso nei modelli amministrativi di Microsoft Windows 8.0 & Server 2012 (non R2) o versione successiva. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.14.1 |
Non esiste o = 3 (Registro di sistema) |
Avviso |
Configurare l'assistenza remota dell'offerta (CCE-36388-7) |
Descrizione: questa impostazione di criterio consente di attivare o disattivare l'assistenza remota offerta (non richiesta) nel computer. L'help desk e il personale di supporto non saranno in grado di offrire assistenza in modo proattivo, anche se possono comunque rispondere alle richieste di assistenza degli utenti. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Assistenza remota\Configura assistenza remota offerta Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello RemoteAssistance.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Configurare l'assistenza remota richiesta (CCE-37281-3) |
Descrizione: questa impostazione di criterio consente di attivare o disattivare l'assistenza remota richiesta (chiedi) in questo computer. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Policies\Administrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello RemoteAssistance.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
=0 (Registro di sistema) |
Critico |
Non visualizzare l'interfaccia utente di selezione della rete (CCE-38353-9) |
Descrizione: questa impostazione di criterio consente di controllare se chiunque può interagire con l'interfaccia utente delle reti disponibili nella schermata di accesso. Se si abilita questa impostazione di criterio, lo stato di connettività di rete del PC non può essere modificato senza accedere a Windows. Se disabiliti o non configuri questa impostazione di criterio, qualsiasi utente può disconnettere il PC dalla rete o connettere il PC ad altre reti disponibili senza accedere a Windows. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Accesso\Non visualizzare l'interfaccia utente di selezione della rete Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "Logon.admx/adml" incluso in Microsoft Windows 8.1 & Server 2012 R2 Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.28.2 |
= 1 (Registro di sistema) |
Avviso |
Non enumerare utenti connessi su computer di dominio (AZ-WIN-202216) |
Descrizione: questa impostazione di criterio impedisce agli utenti connessi di essere enumerati nei computer aggiunti a un dominio. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Sistema\Logon\Non enumerare gli utenti connessi nei computer aggiunti a un dominio Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (Registro di sistema) |
Avviso |
Abilitare l'autenticazione client del mapper dell'endpoint RPC (CCE-37346-4) |
Descrizione: questa impostazione di criterio controlla se i client RPC eseguono l'autenticazione con il servizio Mapper endpoint quando la chiamata che effettua contiene informazioni di autenticazione. Il servizio Mapper endpoint nei computer che eseguono Windows NT4 (tutti i Service Pack) non può elaborare le informazioni di autenticazione fornite in questo modo. Se si disabilita questa impostazione di criterio, i client RPC non eseguiranno l'autenticazione nel servizio Mapper endpoint, ma potranno comunicare con il servizio Mapper endpoint in Windows NT4 Server. Se si abilita questa impostazione di criterio, i client RPC eseguiranno l'autenticazione nel servizio Mapper endpoint per le chiamate che contengono informazioni di autenticazione. I client che effettuano tali chiamate non saranno in grado di comunicare con il servizio Mapper dell'endpoint di Windows NT4 Server. Se non si configura questa impostazione di criterio, rimane disabilitata. I client RPC non eseguiranno l'autenticazione al servizio Mapper endpoint, ma potranno comunicare con il servizio Mapper endpoint di Windows NT4 Server. Nota: questo criterio non verrà applicato fino al riavvio del sistema. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Policies\Administrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo 'RPC.admx/adml' incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.37.1 |
= 1 (Registro di sistema) |
Critico |
Abilita client Windows NTP (CCE-37843-0) |
Descrizione: questa impostazione di criterio specifica se il client NTP di Windows è abilitato. L'abilitazione del client Windows NTP consente al computer di sincronizzare l'orologio del computer con altri server NTP. È possibile disabilitare questo servizio se si decide di usare un provider di tempo di terze parti. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Policies\Administrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'W32Time.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.53.1.1 |
= 1 (Registro di sistema) |
Critico |
Correzione oracle di crittografia per il protocollo CredSSP (AZ-WIN-201910) |
Descrizione: alcune versioni del protocollo CredSSP usate da alcune applicazioni ,ad esempio Connessione Desktop remoto, sono vulnerabili a un attacco oracle di crittografia contro il client. Questo criterio controlla la compatibilità con client e server vulnerabili e consente di impostare il livello di protezione desiderato per la vulnerabilità oracle di crittografia. Lo stato consigliato per questa impostazione è: Enabled: Force Updated Clients .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle SISTEMA OPERATIVO: WS2016, WS2019 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Sistema\Delega credenziali\Crittografia correzione Oracle Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
=0 (Registro di sistema) |
Critico |
Assicurarsi che l'opzione 'Configura l’elaborazione dei criteri del Registro di sistema: Non applicare durante l'elaborazione in background periodica' sia impostata su 'Abilitato: FALSE' (CCE-36169-1) |
Descrizione: l'opzione "Non applicare durante l'elaborazione in background periodica" impedisce al sistema di aggiornare i criteri interessati in background mentre il computer è in uso. Quando gli aggiornamenti in background sono disabilitati, le modifiche ai criteri non saranno effettive fino al successivo accesso utente o al riavvio del sistema. Lo stato consigliato per questa impostazione è: Enabled: FALSE (deselezionato).Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled , quindi impostare l'opzione Process even if the Group Policy objects have not changed su TRUE (selezionata):Configurazione computer\Criteri\Modelli amministrativi\Sistema\Criteri di gruppo\Configurare l'elaborazione dei criteri del Registro di sistema Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello GroupPolicy.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
=0 (Registro di sistema) |
Critico |
Assicurarsi che l'opzione ‘Configura l’elaborazione dei criteri del Registro di sistema: Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati‘ sia impostata su ‘Abilitato: TRUE‘ (CCE-36169-1a) |
Descrizione: l'opzione "Processo anche se gli oggetti Criteri di gruppo non sono stati modificati" aggiorna e riapplica i criteri anche se i criteri non sono stati modificati. Lo stato consigliato per questa impostazione è: Enabled: TRUE (selezionato).Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Criteri di gruppo{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled , quindi impostare l'opzione "Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati" su "TRUE" (selezionata):Configurazione computer\Criteri\Modelli amministrativi\Sistema\Criteri di gruppo\Configurare l'elaborazione dei criteri del Registro di sistema Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello criteri di gruppo "GroupPolicy.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.21.3 |
=0 (Registro di sistema) |
Critico |
Assicurarsi che l'opzione ‘Continua esperienze nel dispositivo’ sia impostata su ‘Disabilitato‘ (AZ-WIN-00170) |
Descrizione: questa impostazione dei criteri determina se il dispositivo Windows può partecipare a esperienze tra dispositivi (esperienze continue). Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Criteri di gruppo\Continua esperienze in questo dispositivo Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "GroupPolicy.admx/adml" incluso in Microsoft Windows 10 Release 1607 & Server 2016 Administrative Templates (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.21.4 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Enumera utenti locali su computer di dominio (AZ_WIN_202204) |
Descrizione: questa impostazione di criterio consente agli utenti locali di essere enumerati nei computer aggiunti a un dominio. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Sistema\Accesso\Enumerare gli utenti locali nei computer aggiunti a un dominio Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Includere la riga di comando negli eventi di creazione del processo (CCE-36925-6) |
Descrizione: questa impostazione dei criteri determina le informazioni registrate negli eventi di controllo di sicurezza quando è stato creato un nuovo processo. Questa impostazione si applica solo quando il criterio di creazione del processo di controllo è abilitato. Se si abilita questa impostazione di criteri, che le informazioni della riga di comando per ogni processo verranno registrate in testo normale nel registro eventi di protezione come parte dell'evento di creazione del processo di controllo 4688, "un nuovo processo creato," sulla workstation e server in cui viene applicata questa impostazione di criteri. Se si disabilita o non si configura questa impostazione di criteri, le informazioni del processo della riga di comando non includerà negli eventi di creazione del processo di controllo. Impostazione predefinita: non configurata Nota: quando questa impostazione di criterio è abilitata, qualsiasi utente con accesso alla lettura degli eventi di sicurezza sarà in grado di leggere gli argomenti della riga di comando per qualsiasi processo creato correttamente. Argomenti della riga di comando possono contenere informazioni riservate o private, ad esempio password o dati utente. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled Sistema operativo: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Policies\Administrative Templates\System\Audit Process Creation\Include command line in process creation events Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo 'AuditSettings.admx/adml' incluso in Microsoft Windows 8.1 & Server 2012 R2 Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.3.1 |
= 1 (Registro di sistema) |
Critico |
Impedisci il recupero dei metadati del dispositivo da Internet (AZ-WIN-202251) |
Descrizione: questa impostazione di criterio consente di impedire a Windows di recuperare i metadati del dispositivo da Internet. Lo stato consigliato per questa impostazione è: Enabled . Nota: ciò non impedisce l'installazione di driver hardware di base, ma impedisce l'installazione automatica del software di utilità di terze parti associato nel contesto dell'account SYSTEM .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Sistema\Installazione del dispositivo\Impedisci il recupero dei metadati del dispositivo da Internet Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (Registro di sistema) |
Informazioni |
L'host remoto consente la delega di credenziali non esportabili (AZ-WIN-20199) |
Descrizione: l'host remoto consente la delega di credenziali non esportabili. Quando si usa la delega delle credenziali, i dispositivi forniscono una versione esportabile delle credenziali all'host remoto. Ciò espone gli utenti al rischio di furto di credenziali da parte di utenti malintenzionati nell'host remoto. La modalità di amministrazione con restrizioni e le funzionalità di Windows Defender Remote Credential Guard sono due opzioni che consentono di proteggersi da questo rischio. Lo stato consigliato per questa impostazione è: Enabled . Nota: informazioni più dettagliate su Windows Defender Remote Credential Guard e sul relativo confronto con la modalità di amministrazione con restrizioni sono disponibili in questo collegamento: Proteggere le credenziali di Desktop remoto con Windows Defender Remote Credential Guard (Windows 10) | Microsoft DocsPercorso chiave: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds SISTEMA OPERATIVO: WS2016, WS2019 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Sistema\Delega credenziali\Host remoto consente la delega di credenziali non esportabili Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (Registro di sistema) |
Critico |
Disattiva notifiche app nella schermata di blocco (CCE-35893-7) |
Descrizione: questa impostazione di criterio consente di impedire la visualizzazione delle notifiche dell'app nella schermata di blocco. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Accesso\Disattiva notifiche delle app nella schermata di blocco Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "Logon.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.28.5 |
= 1 (Registro di sistema) |
Avviso |
Disattivare l'aggiornamento in background di Criteri di gruppo (CCE-14437-8) |
Descrizione: questa impostazione di criterio impedisce l'aggiornamento di Criteri di gruppo mentre il computer è in uso. Questa impostazione di criterio si applica a Criteri di gruppo per computer, utenti e controller di dominio. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Sistema\Criteri di gruppo\Disattiva aggiornamento in background di Criteri di gruppo Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
=0 (Registro di sistema) |
Avviso |
Disattivare il download dei driver di stampa su HTTP (CCE-36625-2) |
Descrizione: questa impostazione di criterio controlla se il computer può scaricare pacchetti driver di stampa tramite HTTP. Per configurare la stampa HTTP, potrebbe essere necessario scaricare i driver della stampante non disponibili nell'installazione standard del sistema operativo tramite HTTP. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Gestione comunicazioni Internet\Impostazioni di comunicazione Internet\Disattiva download dei driver di stampa tramite HTTP Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'ICM.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.22.1.1 |
= 1 (Registro di sistema) |
Avviso |
Disattiva Connessione guidata Internet se connessione a URL rimanda a Microsoft.com (CCE-37163-3) |
Descrizione: questa impostazione di criterio specifica se la Connessione guidata Internet può connettersi a Microsoft per scaricare un elenco di provider di servizi Internet . Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Sistema\Gestione comunicazioni Internet\Impostazioni comunicazione Internet\Disattiva connessione Internet guidata se la connessione URL fa riferimento a Microsoft.com Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'ICM.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.22.1.4 |
= 1 (Registro di sistema) |
Avviso |
Attivare l'accesso pin pratico (CCE-37528-7) |
Descrizione: questa impostazione di criterio consente di controllare se un utente di dominio può accedere usando un PIN pratico. In Windows 10, il PIN pratico è stato sostituito con Passport, che ha proprietà di sicurezza più avanzate. Per configurare Passport per gli utenti di dominio, usare i criteri in Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Passport for Work. Nota: la password del dominio dell'utente verrà memorizzata nella cache nell'insieme di credenziali di sistema quando si usa questa funzionalità. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Policies\Administrative Templates\System\Logon\Turn on convenience PIN sign-in Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello CredentialProviders.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva).Nota 2: nei modelli amministrativi di Microsoft Windows meno recenti questa impostazione è stata inizialmente denominata Attiva accesso PIN, ma è stata rinominata a partire dai modelli amministrativi di Windows 10 Release 1511.Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Modelli amministrativi - Componente Windows
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Disattivare il contenuto dello stato dell'account consumer cloud (AZ-WIN-202217) |
Descrizione: questa impostazione dei criteri determina se il contenuto dello stato dell'account consumer cloud è consentito in tutte le esperienze di Windows. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Contenuto cloud\Disattiva contenuto dell'account consumer cloud Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (Registro di sistema) |
Avviso |
Modelli amministrativi - Componenti di Windows
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Non consentire il reindirizzamento delle unità (AZ-WIN-73569) |
Descrizione: questa impostazione di criterio impedisce agli utenti di condividere le unità locali nei computer client ai server Desktop remoto a cui accedono. Le unità mappate vengono visualizzate nell'albero delle cartelle della sessione in Esplora risorse nel formato seguente: \\TSClient\<driveletter>$ se le unità locali vengono condivise, sono vulnerabili agli intrusi che vogliono sfruttare i dati archiviati su di essi. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Reindirizzamento dispositivi e risorse\Non consentire il reindirizzamento unità Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (Registro di sistema) |
Avviso |
Attivare la trascrizione di PowerShell (AZ-WIN-202208) |
Descrizione: questa impostazione di criterio consente di acquisire l'input e l'output dei comandi di Windows PowerShell in trascrizioni basate su testo. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows PowerShell\Attiva trascrizione di PowerShell Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
=0 (Registro di sistema) |
Avviso |
Modelli amministrativi - Sicurezza di Windows
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Impedire agli utenti di modificare le impostazioni (AZ-WIN-202209) |
Descrizione: questa impostazione di criterio impedisce agli utenti di apportare modifiche all'area Impostazioni protezione dagli exploit nelle impostazioni di Sicurezza di Windows. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Sicurezza di Windows\Protezione app e browser\Impedisci agli utenti di modificare le impostazioni Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (Registro di sistema) |
Avviso |
Modello amministrativo - Windows Defender
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Configurare le regole di riduzione della superficie di attacco (AZ_WIN_202205) |
Descrizione: questa impostazione di criterio controlla lo stato per le regole di riduzione della superficie di attacco.Description: this policy setting controls the state for the Attack Surface Reduction (ASR). Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Riduzione della superficie di attacco\Configurare le regole di riduzione della superficie di attacco Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (Registro di sistema) |
Avviso |
Impedire agli utenti e alle app di accedere a siti Web pericolosi (AZ_WIN_202207) |
Descrizione: questa impostazione dei criteri controlla la protezione di rete di Microsoft Defender Exploit Guard. Lo stato consigliato per questa impostazione è: Enabled: Block .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Network Protection\Impedisci agli utenti e alle app di accedere a siti Web pericolosi Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (Registro di sistema) |
Avviso |
Controllo della gestione degli account del computer
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo della gestione degli account del computer (CCE-38004-8) |
Descrizione: questa sottocategoria segnala ogni evento di gestione degli account computer, ad esempio quando viene creato, modificato, eliminato, rinominato, disabilitato o abilitato. Gli eventi per questa sottocategoria includono: - 4741: è stato creato un account computer. - 4742: Un account computer è stato modificato. - 4743: Un account computer è stato eliminato. Lo stato consigliato per questa impostazione consiste nell'includere: Success .Percorso chiave: {0CCE9236-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Gestione account\Controlla gestione account computer Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Operazione riuscita (Controllo) |
Critico |
Core protetto
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Abilitare la protezione DMA di avvio (AZ-WIN-202250) |
Descrizione: i server con supporto di core protetti supportano il firmware di sistema che fornisce protezione da attacchi DMA (Direct Memory Access) dannosi e indesiderati per tutti i dispositivi con supporto DMA durante il processo di avvio. Percorso chiave: BootDMAProtection OSEx: WSASHCI22H2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: NA Mapping standard di conformità: |
= 1 (OsConfig) |
Critico |
Abilitare l'integrità del codice applicata dall'hypervisor (AZ-WIN-202246) |
Descrizione: HVCI e VBS migliorano il modello di minaccia di Windows e forniscono protezioni più avanzate da malware che tentano di sfruttare il kernel di Windows. HVCI è un componente critico che protegge e rafforza l'ambiente virtuale isolato creato dalla sicurezza basata su virtualizzazione eseguendo l'integrità del codice in modalità kernel e limitando le allocazioni di memoria del kernel che potrebbero essere usate per compromettere il sistema. Percorso chiave: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: NA Mapping standard di conformità: |
=0 (OsConfig) |
Critico |
Abilitare l'avvio protetto (AZ-WIN-202248) |
Descrizione: l'avvio protetto è uno standard di sicurezza sviluppato dai membri del settore del PC per assicurarsi che un dispositivo venga avviato usando solo software considerato attendibile dal produttore di apparecchiature originali (OEM). Percorso chiave: SecureBootState OSEx: WSASHCI22H2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: NA Mapping standard di conformità: |
= 1 (OsConfig) |
Critico |
Abilitare la protezione del sistema (AZ-WIN-202247) |
Descrizione: l'uso del supporto del processore per la tecnologia Dynamic Root of Measurement (DRTM), Protezione del sistema inserire il firmware in una sandbox basata su hardware per limitare l'impatto delle vulnerabilità in milioni di righe di codice firmware con privilegi elevati. Percorso chiave: SystemGuardStatus OSEx: WSASHCI22H2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: NA Mapping standard di conformità: |
=0 (OsConfig) |
Critico |
Abilitare la sicurezza basata sulla virtualizzazione (AZ-WIN-202245) |
Descrizione: la sicurezza basata su virtualizzazione o la sicurezza basata su virtualizzazione usa le funzionalità di virtualizzazione hardware per creare e isolare un'area sicura di memoria dal normale sistema operativo. Ciò consente di garantire che i server rimangano dedicati all'esecuzione di carichi di lavoro critici e consentano di proteggere le applicazioni e i dati correlati da attacchi ed esfiltrazioni. La sicurezza basata su vbs è abilitata e bloccata per impostazione predefinita in Azure Stack HCI. Percorso chiave: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: NA Mapping standard di conformità: |
=0 (OsConfig) |
Critico |
Impostare la versione di TPM (AZ-WIN-202249) |
Descrizione: la tecnologia TPM (Trusted Platform Module) è progettata per fornire funzioni correlate alla sicurezza basate su hardware. TPM2.0 è necessario per le funzionalità di base protette. Percorso chiave: TPMVersion OSEx: WSASHCI22H2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: NA Mapping standard di conformità: |
Contiene 2.0 (OsConfig) |
Critico |
Opzioni di sicurezza - Account
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Account: blocca gli account Microsoft (AZ-WIN-202201) |
Descrizione: questa impostazione di criterio impedisce agli utenti di aggiungere nuovi account Microsoft in questo computer. Lo stato consigliato per questa impostazione è: Users can't add or log on with Microsoft accounts .Percorso chiave: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Account: Blocca account Microsoft Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (Registro di sistema) |
Avviso |
Account: stato account Guest (CCE-37432-2) |
Descrizione: questa impostazione di criterio determina se l'account guest è abilitato o disabilitato. L'account guest consente agli utenti di rete non autenticati di ottenere l'accesso al sistema. Lo stato consigliato per questa impostazione è: Disabled . Nota: questa impostazione non avrà alcun impatto se applicata all'unità organizzativa del controller di dominio tramite Criteri di gruppo perché i controller di dominio non hanno un database account locale. Può essere configurato a livello di dominio tramite Criteri di gruppo, in modo analogo alle impostazioni dei criteri di blocco dell'account e password.Percorso chiave: [Accesso di sistema]EnableGuestAccount Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Account: Stato account guest Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
=0 (Criterio) |
Critico |
Account: limita l'uso di account locali con password vuote solo per l'accesso alla console (CCE-37615-2) |
Descrizione: questa impostazione di criterio determina se gli account locali che non sono protetti da password possono essere usati per accedere da posizioni diverse dalla console computer fisica. Se si abilita questa impostazione di criterio, gli account locali con password vuote non potranno accedere alla rete dai computer client remoti. Tali account potranno accedere solo alla tastiera del computer. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Account: Limitare l'uso dell'account locale solo per l'accesso alla console Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Account: rinomina account guest (AZ-WIN-202255) |
Descrizione: l'account guest locale predefinito è un altro nome noto per gli utenti malintenzionati. È consigliabile rinominare questo account in un elemento che non ne indica lo scopo. Anche se si disabilita questo account, consigliato, assicurarsi di rinominarlo per la sicurezza aggiunta. Nei controller di dominio, poiché non hanno i propri account locali, questa regola fa riferimento all'account guest predefinito stabilito al momento della creazione del dominio. Percorso chiave: [Accesso di sistema]NewGuestName Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Account: Rinomina account guest Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= Guest (Criterio) |
Avviso |
Accesso di rete: consenti conversione anonima SID/nome (CCE-10024-8) |
Descrizione: questa impostazione di criterio determina se un utente anonimo può richiedere attributi di identificatore di sicurezza (SID) per un altro utente o usare un SID per ottenere il nome utente corrispondente. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: [Accesso di sistema]LSAAnonymousNameLookup Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso alla rete: Consenti traduzione ANONIMA SID/Nome Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
=0 (Criterio) |
Avviso |
Opzioni di sicurezza - Controllo
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo: imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo (CCE-37850-5) |
Descrizione: questa impostazione di criterio consente agli amministratori di abilitare le funzionalità di controllo più precise presenti in Windows Vista. Le impostazioni dei criteri di controllo disponibili in Windows Server 2003 Active Directory non contengono ancora impostazioni per la gestione delle nuove sottocategorie di controllo. Per applicare correttamente i criteri di controllo previsti in questa baseline, è necessario configurare l'impostazione delle sottocategorie Controllo: Forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versione successiva) per sostituire le impostazioni della categoria dei criteri di controllo su Abilitato. Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo: Forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versione successiva) per eseguire l'override delle impostazioni della categoria dei criteri di controllo Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.2.1 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza (CCE-35907-5) |
Descrizione: questa impostazione di criterio determina se il sistema viene arrestato se non è in grado di registrare gli eventi di sicurezza. È un requisito per la certificazione TCSEC (Trusted Computer System Evaluation Criteria) -C2 e Common Criteria per impedire che si verifichino eventi controllabili se il sistema di controllo non è in grado di registrarli. Microsoft ha scelto di soddisfare questo requisito interrompendo il sistema e visualizzando un messaggio di arresto se il sistema di controllo riscontra un errore. Quando questa impostazione di criterio è abilitata, il sistema verrà arrestato se non è possibile registrare un controllo di sicurezza per qualsiasi motivo. Se l'impostazione Audit: Arresta immediatamente il sistema se non è possibile registrare i controlli di sicurezza è abilitata, possono verificarsi errori di sistema non pianificati. Il carico amministrativo può essere significativo, soprattutto se si configura anche il metodo di conservazione per il log di sicurezza in Non sovrascrivere gli eventi (cancellare manualmente il log). Questa configurazione causa una minaccia di ripudio (un operatore di backup potrebbe negare che i dati di cui è stato eseguito il backup o il ripristino) diventi una vulnerabilità Denial of Service (DoS), perché un server potrebbe essere costretto a arrestarsi se viene sovraccaricato con eventi di accesso e altri eventi di sicurezza scritti nel log di sicurezza. Inoltre, poiché l'arresto non è normale, è possibile che un danno irreparabile al sistema operativo, alle applicazioni o ai dati possa risultare. Anche se il file system NTFS garantisce l'integrità quando si verifica un arresto anomalo del computer, non può garantire che ogni file di dati per ogni applicazione sia ancora in un formato utilizzabile al riavvio del computer. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo: Arrestare immediatamente il sistema se non è possibile registrare i controlli di sicurezza Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Dispositivi
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Dispositivi: è consentita la formattazione e la rimozione dei supporti rimovibili (CCE-37701-0) |
Descrizione: questa impostazione di criterio determina chi è autorizzato a formattare ed espellere supporti rimovibili. È possibile usare questa impostazione di criterio per impedire agli utenti non autorizzati di rimuovere i dati in un computer per accedervi in un altro computer in cui dispongono dei privilegi di amministratore locale. Percorso chiave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Dispositivi: consentito formattare ed espellere supporti rimovibili Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.4.1 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Dispositivi: non consentire agli utenti di installare i driver della stampante (CCE-37942-0) |
Descrizione: per consentire a un computer di stampare su una stampante condivisa, è necessario installare il driver per la stampante condivisa nel computer locale. Questa impostazione di sicurezza determina chi è autorizzato a installare un driver della stampante come parte della connessione a una stampante condivisa. Lo stato consigliato per questa impostazione è: Enabled . Nota: questa impostazione non influisce sulla possibilità di aggiungere una stampante locale. Questa impostazione non influisce sugli amministratori.Percorso chiave: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Dispositivi: Impedisci agli utenti di installare i driver della stampante Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
Non esiste o = 1 (Registro di sistema) |
Avviso |
Limita l'installazione del driver di stampa agli amministratori (AZ_WIN_202202) |
Descrizione: questa impostazione di criterio controlla se gli utenti che non sono Amministratori possono installare i driver di stampa nel sistema. Lo stato consigliato per questa impostazione è: Enabled . Nota: il 10 agosto 2021 Microsoft ha annunciato una modifica del comportamento predefinito del punto e della stampa che modifica il comportamento predefinito del driver di punta e di stampa per richiedere privilegi di amministratore. Questo comportamento è documentato in KB5005652 Gestire il nuovo comportamento di installazione del driver predefinito punto e stampa (CVE-2021-34481).This is document in KB5005652 Manage new Point and Print default driver installation behavior (CVE-2021-34481).Percorso chiave: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Guida alla sicurezza MS\Limita l'installazione dei driver di stampa agli amministratori Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (Registro di sistema) |
Avviso |
Opzioni di sicurezza - Membro del dominio
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Assicurarsi che l’opzione ‘Membro di dominio: Crittografa digitalmente o firmar i dati del canale protetto (sempre)‘ sia impostata su ‘Abilitato‘ (CCE-36142-8) |
Descrizione: questa impostazione di criteri determina se tutto il traffico del canale sicuro avviato dal membro di dominio deve essere firmato o crittografato. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Membro del dominio: Crittografia digitale o firma dei dati del canale sicuro (sempre) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Assicurarsi che l’opzione ‘Membro di dominio: Crittografa digitalmente i dati del canale protetto (quando possibile)‘ sia impostata su ‘Abilitato‘ (CCE-37130-2) |
Descrizione: questa impostazione di criterio determina se un membro di dominio deve tentare di negoziare la crittografia per tutto il traffico del canale sicuro avviato. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Membro di dominio: Crittografare digitalmente i dati del canale sicuro (quando possibile) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Assicurarsi che l’opzione ‘Membro di dominio: Firma digitalmente i dati del canale protetto (quando possibile)‘ sia impostata su ‘Abilitato‘ (CCE-37222-7) |
Descrizione: Questa impostazione di criterio determina se un membro del dominio deve tentare di negoziare se tutto il traffico del canale protetto avviato deve essere firmato digitalmente. Le firme digitali proteggono il traffico dalla modifica da parte di chiunque acquisisca i dati durante l'attraversamento della rete. Lo stato consigliato per questa impostazione è: 'Enabled'. Percorso chiave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Membro di dominio: Firma digitale dei dati del canale sicuro (quando possibile) Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Assicurarsi che l’opzione ‘Membro di dominio: Disabilita le modifiche alla password dell'account del computer‘ sia impostata su ‘Disabilitato‘ (CCE-37508-9) |
Descrizione: Questa impostazione di criterio determina se un membro di dominio può modificare periodicamente la password dell'account computer. I computer che non possono modificare automaticamente le password dell'account sono potenzialmente vulnerabili, perché un utente malintenzionato potrebbe essere in grado di determinare la password per l'account di dominio del sistema. Lo stato consigliato per questa impostazione è: 'Disabilitato'. Percorso chiave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Assicurarsi che l’opzione ‘Membro di dominio: Validità massima della password dell'account computer‘ sia impostata su ‘30 o meno giorni, ma non su 0‘ (CCE-37431-4) |
Descrizione: questa impostazione di criterio determina la validità massima consentita per una password dell'account computer. Per impostazione predefinita, i membri del dominio modificano automaticamente le password di dominio ogni 30 giorni. Se si aumenta questo intervallo in modo significativo in modo che i computer non modifichi più le password, un utente malintenzionato avrà più tempo per intraprendere un attacco di forza bruta contro uno degli account computer. Lo stato consigliato per questa impostazione è: 30 or fewer days, but not 0 . Nota: un valore di 0 non è conforme al benchmark perché disabilita la validità massima della password.Percorso chiave: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su 30 or fewer days, but not 0 :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Membro del dominio: Validità massima password account computer Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
In 1-30 (Registro di sistema) |
Critico |
Verificare che "Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) sia impostata su "Abilitato" (CCE-37614-5) |
Descrizione: quando questa impostazione di criterio è abilitata, un canale sicuro può essere stabilito solo con controller di dominio in grado di crittografare i dati del canale sicuro con una chiave di sessione complessa (a 128 bit). Per abilitare questa impostazione di criterio, tutti i controller di dominio nel dominio devono essere in grado di crittografare i dati del canale sicuro con una chiave complessa, il che significa che tutti i controller di dominio devono eseguire Microsoft Windows 2000 o versione successiva. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Membro dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Accesso interattivo
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
La memorizzazione nella cache delle credenziali di accesso deve essere limitata (AZ-WIN-73651) |
Descrizione: questa impostazione di criterio determina se un utente può accedere a un dominio di Windows usando le informazioni sull'account memorizzate nella cache. Le informazioni di accesso per gli account di dominio possono essere memorizzate nella cache in locale per consentire agli utenti di accedere anche se non è possibile contattare un controller di dominio. Questa impostazione di criterio determina il numero di utenti univoci per cui le informazioni di accesso vengono memorizzate nella cache in locale. Se questo valore è impostato su 0, la funzionalità di cache di accesso è disabilitata. Un utente malintenzionato in grado di accedere al file system del server potrebbe individuare queste informazioni memorizzate nella cache e usare un attacco di forza bruta per determinare le password utente. Lo stato consigliato per questa impostazione è: 4 or fewer logon(s) .Percorso chiave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: Numero di accessi precedenti alla cache (nel caso in cui il controller di dominio non sia disponibile) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
In 1-4 (Registro di sistema) |
Informazioni |
Accesso interattivo: non visualizzare l'ultimo nome utente (CCE-36056-0) |
Descrizione: questa impostazione di criterio determina se il nome dell'account dell'ultimo utente per accedere ai computer client dell'organizzazione verrà visualizzato nella rispettiva schermata di accesso di Windows di ogni computer. Abilitare questa impostazione di criterio per impedire agli intrusi di raccogliere i nomi degli account visivamente dalle schermate dei computer desktop o portatili dell'organizzazione. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: Non visualizzare l'ultimo accesso Nota: nelle versioni precedenti di Microsoft Windows questa impostazione è denominata Accesso interattivo: Non visualizzare l'ultimo nome utente, ma è stato rinominato a partire da Windows Server 2019. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (Registro di sistema) |
Critico |
Accesso interattivo: non richiede CTRL+ALT+CANC (CCE-37637-6) |
Descrizione: questa impostazione di criterio determina se gli utenti devono premere CTRL+ALT+CANC prima di accedere. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: Non richiedere CTRL+ALT+CANC Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Accesso interattivo: limite di inattività del computer (AZ-WIN-73645) |
Descrizione: Windows rileva l'inattività di una sessione di accesso e se la quantità di tempo inattivo supera il limite di inattività, lo screen saver verrà eseguito, bloccando la sessione. Lo stato consigliato per questa impostazione è: 900 or fewer second(s), but not 0 . Nota: un valore di 0 non è conforme al benchmark perché disabilita il limite di inattività del computer.Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: Limite di inattività computer Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
In 1-900 (Registro di sistema) |
Importante |
Accesso interattivo: testo del messaggio per gli utenti che tentano l'accesso (AZ-WIN-202253) |
Descrizione: questa impostazione di criterio specifica un sms che viene visualizzato agli utenti quando accedono. Configurare questa impostazione in modo coerente con i requisiti di sicurezza e operativi dell'organizzazione. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: testo del messaggio per gli utenti che tentano di accedere Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (Registro di sistema) |
Avviso |
Accesso interattivo: titolo del messaggio per gli utenti che tentano l'accesso (AZ-WIN-202254) |
Descrizione: questa impostazione di criterio specifica il testo visualizzato nella barra del titolo della finestra visualizzata dagli utenti quando accedono al sistema. Configurare questa impostazione in modo coerente con i requisiti di sicurezza e operativi dell'organizzazione. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: Titolo messaggio per gli utenti che tentano di accedere Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (Registro di sistema) |
Avviso |
Accesso interattivo: richiedi cambio password utente prima della scadenza (CCE-10930-6) |
Descrizione: questa impostazione di criterio determina quanto tempo prima gli utenti vengono avvisati che la password scadrà. È consigliabile configurare questa impostazione di criterio su almeno 5 giorni, ma non più di 14 giorni per avvisare sufficientemente gli utenti alla scadenza delle password. Lo stato consigliato per questa impostazione è: between 5 and 14 days .Percorso chiave: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso interattivo: richiedi all'utente di modificare la password prima della scadenza Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
In 5-14 (Registro di sistema) |
Informazioni |
Opzioni di sicurezza - Client di rete Microsoft
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Client di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre) (CCE-36325-9) |
Descrizione: Questa impostazione di criterio determina se la firma dei pacchetti è richiesta dal componente client SMB. Nota: quando i computer basati su Windows Vista hanno questa impostazione di criterio abilitata e si connettono a condivisioni file o stampa su server remoti, è importante che l'impostazione sia sincronizzata con l'impostazione complementare, server di rete Microsoft: Firma digitale delle comunicazioni (sempre) su tali server. Per altre informazioni su queste impostazioni, vedere la sezione "Client e server di rete Microsoft: Firma digitale delle comunicazioni (quattro impostazioni correlate)" nel capitolo 5 della guida alle minacce e alle contromisure. Lo stato consigliato per questa impostazione è: 'Enabled'. Percorso chiave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Client di rete Microsoft: Firma digitale delle comunicazioni (sempre) Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (Registro di sistema) |
Critico |
Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server) (CCE-36269-9) |
Descrizione: questa impostazione di criterio determina se il client SMB tenterà di negoziare la firma dei pacchetti SMB. Nota: l'abilitazione di questa impostazione di criterio nei client SMB nella rete li rende completamente efficaci per la firma dei pacchetti con tutti i client e i server nell'ambiente in uso. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Client di rete Microsoft: Firma digitale delle comunicazioni (se il server accetta) Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Client di rete Microsoft: invia password non crittografata per la connessione ai server SMB di terzi (CCE-37863-8) |
Descrizione: Questa impostazione di criterio determina se il redirector SMB invierà password di testo non crittografato durante l'autenticazione a server SMB di terze parti che non supportano la crittografia delle password. È consigliabile disabilitare questa impostazione di criterio, a meno che non esista un caso aziendale sicuro per abilitarlo. Se questa impostazione di criterio è abilitata, le password non crittografate saranno consentite in rete. Lo stato consigliato per questa impostazione è: 'Disabilitato'. Percorso chiave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Client di rete Microsoft: Invia password non crittografata ai server SMB di terze parti Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Server di rete Microsoft: periodo di inattività necessario prima di sospendere la sessione (CCE-38046-9) |
Descrizione: questa impostazione di criterio consente di specificare la quantità di tempo di inattività continua che deve passare in una sessione SMB prima che la sessione venga sospesa a causa dell'inattività. Gli amministratori possono usare questa impostazione di criterio per controllare quando un computer sospende una sessione SMB inattiva. Se l'attività client riprende, la sessione viene ristabilita automaticamente. Il valore 0 sembra consentire la persistenza illimitata delle sessioni. Il valore massimo è 99999, ovvero oltre 69 giorni; in effetti, questo valore disabilita l'impostazione. Lo stato consigliato per questa impostazione è: 15 or fewer minute(s), but not 0 .Percorso chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su 15 or fewer minute(s) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Server di rete Microsoft: tempo di inattività necessario prima della sospensione della sessione Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.9.1 |
In 1-15 (Registro di sistema) |
Critico |
Server di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre) (CCE-37864-6) |
Descrizione: questa impostazione di criterio determina se la firma dei pacchetti è richiesta dal componente server SMB. Abilitare questa impostazione di criterio in un ambiente misto per impedire ai client downstream di usare la workstation come server di rete. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Server di rete Microsoft: Firma digitale delle comunicazioni (sempre) Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (Registro di sistema) |
Critico |
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) (CCE-35988-5) |
Descrizione: questa impostazione di criterio determina se il server SMB negozierà la firma dei pacchetti SMB con i client che lo richiedono. Se non viene inviata alcuna richiesta di firma dal client, una connessione sarà consentita senza firma se l'impostazione Microsoft Network Server: Firma digitale delle comunicazioni (sempre) non è abilitata. Nota: abilitare questa impostazione di criterio nei client SMB nella rete per renderli completamente efficaci per la firma dei pacchetti con tutti i client e i server nell'ambiente in uso. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Server di rete Microsoft: Firma digitale delle comunicazioni (se il client accetta) Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (Registro di sistema) |
Critico |
Server di rete Microsoft: disconnetti automaticamente i client al termine dell'orario di accesso (CCE-37972-7) |
Descrizione: questa impostazione di sicurezza determina se disconnettere gli utenti connessi al computer locale al di fuori dell'orario di accesso valido dell'account utente. Questa impostazione influisce sul componente Server Message Block (SMB). Se si abilita questa impostazione di criterio, è necessario abilitare anche Sicurezza di rete: forzare la disconnessione alla scadenza dell'orario di accesso (regola 2.3.11.6). Se l'organizzazione configura le ore di accesso per gli utenti, questa impostazione di criterio è necessaria per assicurarsi che siano efficaci. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Server di rete Microsoft: Disconnettere i client alla scadenza delle ore di accesso Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Server di rete Microsoft: livello di convalida nome di destinazione SPN del server (CCE-10617-9) |
Descrizione: questa impostazione di criterio controlla il livello di convalida di un computer con cartelle condivise o stampanti (il server) eseguito sul nome dell'entità servizio (SPN) fornito dal computer client quando stabilisce una sessione usando il protocollo SMB (Server Message Block). Il protocollo SMB (Server Message Block) fornisce la base per la condivisione di file e di stampa e altre operazioni di rete, ad esempio l'amministrazione remota di Windows. Il protocollo SMB supporta la convalida del nome dell'entità servizio del server SMB (SPN) all'interno del BLOB di autenticazione fornito da un client SMB per impedire una classe di attacchi contro i server SMB definiti attacchi di inoltro SMB. Questa impostazione avrà effetto sia su SMB1 che su SMB2. Lo stato consigliato per questa impostazione è: Accept if provided by client . La configurazione di questa impostazione per Required from client è conforme anche al benchmark. Nota: poiché il rilascio della patch di sicurezza MS KB3161561 , questa impostazione può causare problemi significativi (ad esempio problemi di replica, problemi di modifica dei criteri di gruppo e arresti anomali della schermata blu) nei controller di dominio quando vengono usati contemporaneamente alla protezione avanzata del percorso UNC (ad esempio regola 18.5.14.1). Cis consiglia pertanto di distribuire questa impostazione nei controller di dominio.Percorso chiave: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Server di rete Microsoft: livello di convalida del nome di destinazione SPN server Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (Registro di sistema) |
Avviso |
Opzioni di sicurezza - Server di rete Microsoft
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Disabilitare il server SMB v1 (AZ-WIN-00175) |
Descrizione: la disabilitazione di questa impostazione disabilita l'elaborazione lato server del protocollo SMBv1. (Scelta consigliata). L'abilitazione di questa impostazione abilita l'elaborazione lato server del protocollo SMBv1. Impostazione predefinita. Le modifiche apportate a questa impostazione richiedono un riavvio per rendere effettivo il riavvio. Per altre informazioni, vedere https://support.microsoft.com/kb/2696547. Percorso chiave: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: non applicabile Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.3.3 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Accesso alla rete
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Account: rinomina account amministratore (CCE-10976-9) |
Descrizione: l'account amministratore locale predefinito è un nome di account noto che gli utenti malintenzionati avranno come destinazione. È consigliabile scegliere un altro nome per questo account ed evitare nomi che denotano account di accesso amministrativi o con privilegi elevati. Assicurarsi di modificare anche la descrizione predefinita per l'amministratore locale (tramite la console di gestione computer). Nei controller di dominio, poiché non hanno i propri account locali, questa regola fa riferimento all'account amministratore predefinito stabilito al momento della creazione del dominio. Percorso chiave: [Accesso di sistema]NewAdministratorName Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Account: Rinomina account amministratore Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= Amministratore (Criterio) |
Avviso |
Accesso di rete: non consentire l'enumerazione anonima degli account SAM (CCE-36316-8) |
Descrizione: questa impostazione di criterio consente agli utenti anonimi di enumerare gli account in Gestione account di sicurezza (SAM). Se si abilita questa impostazione di criterio, gli utenti con connessioni anonime non potranno enumerare i nomi utente dell'account di dominio nei sistemi nell'ambiente in uso. Questa impostazione di criterio consente inoltre restrizioni aggiuntive sulle connessioni anonime. Lo stato consigliato per questa impostazione è: Enabled . Nota: questo criterio non ha alcun effetto sui controller di dominio.Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza etwork access: Non consentire l'enumerazione anonima degli account SAM Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.2 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Accesso di rete: non consentire l'enumerazione anonima di account e condivisioni SAM (CCE-36077-6) |
Descrizione: questa impostazione di criterio consente agli utenti anonimi di enumerare gli account SAM e le condivisioni. Se si abilita questa impostazione di criterio, gli utenti anonimi non potranno enumerare i nomi utente dell'account di dominio e i nomi delle condivisioni di rete nei sistemi dell'ambiente. Lo stato consigliato per questa impostazione è: Enabled . Nota: questo criterio non ha alcun effetto sui controller di dominio.Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza etwork access: non consentire l'enumerazione anonima di account e condivisioni SAM Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.3 |
= 1 (Registro di sistema) |
Critico |
Accesso di rete: applica autorizzazioni account Everyone agli utenti anonimi (CCE-36148-5) |
Descrizione: questa impostazione dei criteri determina quali autorizzazioni aggiuntive vengono assegnate per le connessioni anonime al computer. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso alla rete: Consenti a tutti gli utenti anonimi di applicare le autorizzazioni a utenti anonimi Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Accesso di rete: percorsi del Registro di sistema ai quali è possibile accedere in modo remoto (CCE-37194-8) |
Descrizione: questa impostazione di criterio determina quali percorsi del Registro di sistema saranno accessibili dopo aver fatto riferimento alla chiave WinReg per determinare le autorizzazioni di accesso ai percorsi. Nota: questa impostazione non esiste in Windows XP. C'era un'impostazione con tale nome in Windows XP, ma si chiama "Accesso alla rete: Percorsi e sottopercorso del Registro di sistema accessibili in remoto" in Windows Server 2003, Windows Vista e Windows Server 2008. Nota: quando si configura questa impostazione, si specifica un elenco di uno o più oggetti. Il delimitatore utilizzato quando si immette l'elenco è un avanzamento riga o ritorno a capo, ovvero digitare il primo oggetto nell'elenco, premere il pulsante INVIO, digitare l'oggetto successivo, premere di nuovo INVIO e così via. Il valore dell'impostazione viene archiviato come elenco delimitato da virgole nei modelli di sicurezza di Criteri di gruppo. Viene inoltre eseguito il rendering come elenco delimitato da virgole nel riquadro di visualizzazione dell'Editor Criteri di gruppo e nel set di criteri risultante. Viene registrato nel Registro di sistema come elenco delimitato da feed di righe in un valore REG_MULTI_SZ. Percorso chiave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso alla rete: Percorsi del Registro di sistema accessibili in remoto Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.8 |
Non esiste o = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (Registro di sistema) |
Critico |
Accesso alla rete: percorsi e percorsi secondari del Registro di sistema accessibili in remoto (CCE-36347-3) |
Descrizione: questa impostazione di criterio determina quali percorsi e percorsi secondari del Registro di sistema saranno accessibili quando un'applicazione o un processo fa riferimento alla chiave WinReg per determinare le autorizzazioni di accesso. Nota: in Windows XP questa impostazione è denominata "Accesso alla rete: percorsi del Registro di sistema accessibili in remoto", l'impostazione con lo stesso nome in Windows Vista, Windows Server 2008 e Windows Server 2003 non esiste in Windows XP. Nota: quando si configura questa impostazione, si specifica un elenco di uno o più oggetti. Il delimitatore utilizzato quando si immette l'elenco è un avanzamento riga o ritorno a capo, ovvero digitare il primo oggetto nell'elenco, premere il pulsante INVIO, digitare l'oggetto successivo, premere di nuovo INVIO e così via. Il valore dell'impostazione viene archiviato come elenco delimitato da virgole nei modelli di sicurezza di Criteri di gruppo. Viene inoltre eseguito il rendering come elenco delimitato da virgole nel riquadro di visualizzazione dell'Editor Criteri di gruppo e nel set di criteri risultante. Viene registrato nel Registro di sistema come elenco delimitato da feed di righe in un valore REG_MULTI_SZ. Percorso chiave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza etwork access: percorsi e percorsi secondari accessibili in remoto del Registro di sistema Quando un server contiene il ruolo Servizi certificati Active Directory con il servizio ruolo autorità di certificazione, l'elenco precedente deve includere anche: 'System\CurrentControlSet\Services\CertSvc'. Quando un server dispone della funzionalità server WINS installata, l'elenco precedente deve includere anche: 'System\CurrentControlSet\Services\WINS' Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.9 |
Non esiste o = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (Registro di sistema) |
Critico |
Accesso di rete: Limitare l'accesso anonimo a named pipe e condivisioni (CCE-36021-4) |
Descrizione: se abilitata, questa impostazione di criterio limita l'accesso anonimo solo alle condivisioni e alle pipe denominate nelle Network access: Named pipes that can be accessed anonymously impostazioni e Network access: Shares that can be accessed anonymously . Questa impostazione di criterio controlla l'accesso alla sessione Null alle condivisioni nei computer aggiungendo RestrictNullSessAccess con il valore 1 nella chiave del HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters Registro di sistema. Questo valore del Registro di sistema attiva o disattiva le condivisioni di sessione Null per controllare se il servizio server limita l'accesso dei client non autenticati alle risorse denominate. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso alla rete: limitare l'accesso anonimo alle named pipe e alle condivisioni Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Accesso alla rete: limita i client a cui è consentito effettuare chiamate remote a SAM (AZ-WIN-00142) |
Descrizione: questa impostazione di criterio consente di limitare le connessioni RPC remote a SAM. Se non è selezionata, verrà usato il descrittore di sicurezza predefinito. Questo criterio è supportato almeno in Windows Server 2016. Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators: Remote Access: Allow :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza etwork access: limitare i client autorizzati a effettuare chiamate remote a SAM Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.11 |
Non esiste o = O:BAG:BAD:(A;; RC;;; BA) (Registro di sistema) |
Critico |
Accesso di rete: Condivisioni alle quali è possibile accedere in modo anonimo (CCE-38095-6) |
Descrizione: questa impostazione di criterio determina le condivisioni di rete a cui è possibile accedere da utenti anonimi. La configurazione predefinita per questa impostazione dei criteri ha un effetto ridotto perché tutti gli utenti devono essere autenticati prima di poter accedere alle risorse condivise nel server. Nota: può essere molto pericoloso aggiungere altre condivisioni a questa impostazione di Criteri di gruppo. Qualsiasi utente di rete può accedere a tutte le condivisioni elencate, che potrebbero esporre o danneggiare i dati sensibili. Nota: quando si configura questa impostazione, si specifica un elenco di uno o più oggetti. Il delimitatore utilizzato quando si immette l'elenco è un avanzamento riga o ritorno a capo, ovvero digitare il primo oggetto nell'elenco, premere il pulsante INVIO, digitare l'oggetto successivo, premere di nuovo INVIO e così via. Il valore dell'impostazione viene archiviato come elenco delimitato da virgole nei modelli di sicurezza di Criteri di gruppo. Viene inoltre eseguito il rendering come elenco delimitato da virgole nel riquadro di visualizzazione dell'Editor Criteri di gruppo e nel set di criteri risultante. Viene registrato nel Registro di sistema come elenco delimitato da feed di righe in un valore REG_MULTI_SZ. Percorso chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso <blank> dell'interfaccia utente seguente su (ad esempio Nessuno):Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza etwork access: condivisioni a cui è possibile accedere in modo anonimo Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.12 |
Non esiste o = (Registro di sistema) |
Critico |
Accesso di rete: modello di condivisione e sicurezza per gli account locali (CCE-37623-6) |
Descrizione: questa impostazione di criterio determina la modalità di autenticazione degli accessi di rete che usano account locali. L'opzione classica consente un controllo preciso sull'accesso alle risorse, inclusa la possibilità di assegnare diversi tipi di accesso a utenti diversi per la stessa risorsa. L'opzione Solo guest consente di trattare tutti gli utenti allo stesso modo. In questo contesto, tutti gli utenti eseguono l'autenticazione come Guest solo per ricevere lo stesso livello di accesso a una determinata risorsa. Lo stato consigliato per questa impostazione è: Classic - local users authenticate as themselves . Nota: questa impostazione non influisce sugli accessi interattivi eseguiti in remoto tramite servizi come Telnet o Servizi Desktop remoto (in precedenza denominati Servizi terminal).Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Classic - local users authenticate as themselves :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Accesso alla rete: Condivisione e modello di sicurezza per gli account locali Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Sicurezza di rete
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Sicurezza di rete: consenti a Sistema locale di utilizzare l'identità del computer per NTLM (CCE-38341-4) |
Descrizione: se abilitata, questa impostazione di criterio fa sì che i servizi di sistema locale che usano Negotiate usino l'identità del computer quando l'autenticazione NTLM viene selezionata dalla negoziazione. Questo criterio è supportato almeno in Windows 7 o Windows Server 2008 R2. Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId Sistema operativo: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza sicurezza etwork: Consenti al sistema locale di usare l'identità del computer per NTLM Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.11.1 |
= 1 (Registro di sistema) |
Critico |
Sicurezza di rete: consenti fallback di sessioni NULL in LocalSystem (CCE-37035-3) |
Descrizione: questa impostazione di criterio determina se NTLM può eseguire il fallback a una sessione NULL se usata con LocalSystem. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza: Consenti fallback sessione LOCALSystem NULL Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Sicurezza di rete: consenti utilizzo di identità online da parte di richieste di autenticazione PKU2U a questo computer (CCE-38047-7) |
Descrizione: questa impostazione determina se le identità online sono in grado di eseguire l'autenticazione in questo computer. Il protocollo PKU2U (Public Key Cryptography Based User-to-User) introdotto in Windows 7 e Windows Server 2008 R2 viene implementato come provider di supporto per la sicurezza. Il provider di servizi condivisi consente l'autenticazione peer-to-peer, in particolare tramite la funzionalità di condivisione di file e supporti di Windows 7 denominata Homegroup, che consente la condivisione tra computer che non sono membri di un dominio. Con PKU2U, è stata introdotta una nuova estensione per il pacchetto di autenticazione Negotiate, Spnego.dll . Nelle versioni precedenti di Windows, Negotiate ha deciso se usare Kerberos o NTLM per l'autenticazione. Il provider di servizi condivisi di estensione per Negotiate, Negoexts.dll , che viene considerato come protocollo di autenticazione da Windows, supporta i provider di servizi condivisi Microsoft, incluso PKU2U. Quando i computer sono configurati per accettare richieste di autenticazione tramite ID online, Negoexts.dll chiama il provider di servizi condivisi PKU2U nel computer usato per l'accesso. Il provider di servizi condivisi PKU2U ottiene un certificato locale e scambia i criteri tra i computer peer. Quando viene convalidato nel computer peer, il certificato all'interno dei metadati viene inviato al peer di accesso per la convalida e associa il certificato dell'utente a un token di sicurezza e il processo di accesso viene completato. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza di rete: Consenti richieste di autenticazione PKU2U a questo computer di usare le identità online Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Sicurezza di rete: configurare i tipi di crittografia consentiti per Kerberos (CCE-37755-6) |
Descrizione: questa impostazione di criteri consente di impostare i tipi di crittografia che Kerberos può usare. Questo criterio è supportato almeno in Windows 7 o Windows Server 2008 R2. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes Sistema operativo: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza: Configurare i tipi di crittografia consentiti per Kerberos Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.11.4 |
Non esiste o = 2147483640 (Registro di sistema) |
Critico |
Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password (CCE-36326-7) |
Descrizione: questa impostazione di criterio determina se il valore hash di LAN Manager (LM) per la nuova password viene archiviato quando la password viene modificata. L'hash LM è relativamente debole e soggetto ad attacchi rispetto all'hash di Microsoft Windows NT più forte dal punto di vista crittografico. Poiché gli hash LM vengono archiviati nel computer locale nel database di sicurezza, le password possono essere facilmente compromesse se il database viene attaccato. Nota: i sistemi operativi meno recenti e alcune applicazioni di terze parti potrebbero non riuscire quando questa impostazione di criterio è abilitata. Si noti inoltre che la password deve essere modificata in tutti gli account dopo aver abilitato questa impostazione per ottenere il vantaggio appropriato. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza: Non archiviare il valore hash di LAN Manager alla modifica della password successiva Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Sicurezza di rete: livello di autenticazione di LAN Manager (CCE-36173-3) |
Descrizione: LAN Manager (LM) è una famiglia di software client/server Microsoft iniziali che consente agli utenti di collegare i personal computer in una singola rete. Le funzionalità di rete includono la condivisione di file e di stampa trasparenti, le funzionalità di sicurezza degli utenti e gli strumenti di amministrazione della rete. Nei domini di Active Directory il protocollo Kerberos è il protocollo di autenticazione predefinito. Tuttavia, se il protocollo Kerberos non viene negoziato per qualche motivo, Active Directory userà LM, NTLM o NTLMv2. L'autenticazione LAN Manager include le varianti LM, NTLM e NTLM versione 2 (NTLMv2) ed è il protocollo usato per autenticare tutti i client Windows quando eseguono le operazioni seguenti: - Aggiungere un dominio - Eseguire l'autenticazione tra foreste Active Directory - Autenticarsi in domini di livello inferiore - Autenticarsi nei computer che non eseguono Windows 2000, Windows Server 2003 o Windows XP) - Autenticare i computer che non si trovano nel dominio I valori possibili per la sicurezza di rete: Le impostazioni del livello di autenticazione di LAN Manager sono: - Invia risposte LM & NTLM - Invia LM & NTLM - Usa sicurezza della sessione NTLMv2 se negoziata - Invia solo risposte NTLM - Invia solo risposte NTLMv2 - Invia risposte NTLMv2 solo\rifiuta LM - Invia risposte NTLMv2 solo\rifiuta LM & NTLM - Non definita LM - Non definita l'impostazione del livello di autenticazione di LAN Manager determina quale protocollo di autenticazione di verifica/risposta viene usato per gli accessi di rete. Questa scelta influisce sul livello di protocollo di autenticazione usato dai client, sul livello di sicurezza della sessione negoziato dai computer e sul livello di autenticazione accettato dai server nel modo seguente: - Inviare risposte LM & NTLM. I client usano l'autenticazione LM e NTLM e non usano mai la sicurezza della sessione NTLMv2. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Invia LM & NTLM: usa la sicurezza della sessione NTLMv2 se negoziata. I client usano l'autenticazione LM e NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Invia solo risposta NTLM. I client usano solo l'autenticazione NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Invia solo risposta NTLMv2. I client usano solo l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Invia solo risposta NTLMv2\rifiuta LM. I client usano solo l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio rifiutano LM (accettano solo l'autenticazione NTLM e NTLMv2). - Invia solo risposta NTLMv2\rifiuta LM & NTLM. I client usano solo l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio rifiutano LM e NTLM (accettano solo l'autenticazione NTLMv2). Queste impostazioni corrispondono ai livelli descritti in altri documenti Microsoft come indicato di seguito: - Livello 0 - Invia risposta LM e NTLM; non usare mai la sicurezza della sessione NTLMv2. I client usano l'autenticazione LM e NTLM e non usano mai la sicurezza della sessione NTLMv2. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Livello 1: usare la sicurezza della sessione NTLMv2 se negoziata. I client usano l'autenticazione LM e NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Livello 2 - Invia solo risposta NTLM. I client usano solo l'autenticazione NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Livello 3 - Invia solo risposta NTLMv2. I client usano l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. - Livello 4 : i controller di dominio rifiutano le risposte LM. I client usano l'autenticazione NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio rifiutano l'autenticazione LM, ovvero accettano NTLM e NTLMv2. - Livello 5 : i controller di dominio rifiutano le risposte LM e NTLM (accettano solo NTLMv2). I client usano l'autenticazione NTLMv2, usano e la sicurezza della sessione NTLMv2 se il server lo supporta. I controller di dominio rifiutano l'autenticazione NTLM e LM (accettano solo NTLMv2). Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su: "Invia solo risposta NTLMv2. Rifiuta LM & NTLM': Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza sicurezza etwork: livello di autenticazione di LAN Manager Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.11.7 |
= 5 (Registro di sistema) |
Critico |
Sicurezza di rete: requisiti per la firma client LDAP (CCE-36858-9) |
Descrizione: questa impostazione di criterio determina il livello di firma dei dati richiesto per conto dei client che emettono richieste LDAP BIND. Nota: questa impostazione di criteri non ha alcun impatto sull'associazione semplice LDAP (ldap_simple_bind ) o sull'associazione semplice LDAP tramite SSL (ldap_simple_bind_s ). Nessun client LDAP Microsoft incluso in Windows XP Professional usa ldap_simple_bind o ldap_simple_bind_s per comunicare con un controller di dominio. Lo stato consigliato per questa impostazione è: Negotiate signing . La configurazione di questa impostazione in Require signing modo che sia conforme anche al benchmark.Percorso chiave: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Negotiate signing (configurando per Require signing essere conforme anche al benchmark):Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza: requisiti di firma client LDAP Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Sicurezza di rete: sicurezza sessione minima per client basati su NTLM SSP (incluso l'RPC sicuro) (CCE-37553-5) |
Descrizione: questa impostazione di criteri determina quali comportamenti sono consentiti dai client per le applicazioni che usano il provider di supporto della sicurezza NTLM . L'interfaccia SSPI (SSPI) viene usata dalle applicazioni che necessitano di servizi di autenticazione. L'impostazione non modifica il funzionamento della sequenza di autenticazione, ma richiede determinati comportamenti nelle applicazioni che usano SSPI. Lo stato consigliato per questa impostazione è: Require NTLMv2 session security, Require 128-bit encryption . Nota: questi valori dipendono dal valore dell'impostazione di sicurezza del livello di autenticazione di LAN Manager.Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Require NTLMv2 session security, Require 128-bit encryption : Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza della rete: sicurezza minima della sessione per client BASATI su SSP NTLM (inclusi i client RPC sicuri)Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.11.9 |
= 537395200 (Registro di sistema) |
Critico |
Sicurezza di rete: sicurezza sessione minima per server basati su NTLM SSP (incluso l'RPC sicuro) (CCE-37835-6) |
Descrizione: questa impostazione dei criteri determina quali comportamenti sono consentiti dai server per le applicazioni che usano il provider di supporto della sicurezza NTLM . L'interfaccia SSPI (SSPI) viene usata dalle applicazioni che necessitano di servizi di autenticazione. L'impostazione non modifica il funzionamento della sequenza di autenticazione, ma richiede determinati comportamenti nelle applicazioni che usano SSPI. Lo stato consigliato per questa impostazione è: Require NTLMv2 session security, Require 128-bit encryption . Nota: questi valori dipendono dal valore dell'impostazione di sicurezza del livello di autenticazione di LAN Manager.Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza di rete: sicurezza minima della sessione per i server SSP NTLM (inclusi i server RPC sicuri) per Richiedere la sicurezza della sessione NTLMv2 e Richiedi crittografia a 128 bit (tutte le opzioni selezionate). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.11.10 |
= 537395200 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Arresto
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Arresto del sistema: consenti di arrestare il sistema senza effettuare l'accesso (CCE-36788-8) |
Descrizione: questa impostazione di criterio determina se un computer può essere arrestato quando un utente non è connesso. Se questa impostazione di criterio è abilitata, il comando di arresto è disponibile nella schermata di accesso di Windows. È consigliabile disabilitare questa impostazione di criterio per limitare la possibilità di arrestare il computer agli utenti con credenziali nel sistema. Lo stato consigliato per questa impostazione è: Disabled . Nota: in Server 2008 R2 e versioni precedenti, questa impostazione non ha alcun impatto sulle sessioni di Desktop remoto (RDP) /Servizi terminal, ma ha interessato solo la console locale. Tuttavia, Microsoft ha modificato il comportamento in Windows Server 2012 (non R2) e versioni successive, dove se impostato su Abilitato, anche le sessioni RDP possono arrestare o riavviare il server.Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Arresto: consenti l'arresto del sistema senza dover accedere Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Arresto del sistema: cancella file di paging della memoria virtuale (AZ-WIN-00181) |
Descrizione: questa impostazione di criterio determina se il file di pagina della memoria virtuale viene cancellato quando il sistema viene arrestato. Quando questa impostazione di criterio è abilitata, il file di pagina di sistema viene cancellato ogni volta che il sistema viene arrestato correttamente. Se si abilita questa impostazione di sicurezza, il file di ibernazione (Hiberfil.sys) viene azzerato quando l'ibernazione è disabilitata in un computer portatile. Ci vorrà più tempo per arrestare e riavviare il computer e sarà particolarmente evidente nei computer con file di paging di grandi dimensioni. Percorso chiave: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Arresta: cancella il file di pagina della memoria virtuale in Disabled .Mapping standard di conformità: |
Non esiste o = 0 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Crittografia di sistema
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
È necessario che gli utenti immettano una password per accedere alle chiavi private archiviate nel computer. (AZ-WIN-73699) |
Descrizione: se viene individuata la chiave privata, un utente malintenzionato può usare la chiave per l'autenticazione come utente autorizzato e ottenere l'accesso all'infrastruttura di rete. L'elemento fondamentale dell'infrastruttura a chiave pubblica è la chiave privata usata per crittografare o firmare digitalmente le informazioni. Se la chiave privata viene rubata, ciò comporterà la compromissione dell'autenticazione e del non ripudio ottenuto tramite PKI perché l'utente malintenzionato può usare la chiave privata per firmare digitalmente i documenti e fingere di essere l'utente autorizzato. Sia i titolari di un certificato digitale che l'autorità emittente devono proteggere i computer, i dispositivi di archiviazione o qualsiasi elemento usato per mantenere le chiavi private. Percorso chiave: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Crittografia sistema: Forzare la protezione avanzata delle chiavi utente per le chiavi utente archiviate nel computer Mapping standard di conformità: |
= 2 (Registro di sistema) |
Importante |
Windows Server deve essere configurato per l'uso di algoritmi conformi a FIPS per la crittografia, l'hashing e la firma. (AZ-WIN-73701) |
Descrizione: questa impostazione garantisce che il sistema usi algoritmi conformi a FIPS per la crittografia, l'hashing e la firma. Gli algoritmi conformi a FIPS soddisfano standard specifici stabiliti dal governo degli Stati Uniti e devono essere gli algoritmi usati per tutte le funzioni di crittografia del sistema operativo. Percorso chiave: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: membro del dominio Percorso criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Crittografia di sistema: usare algoritmi conformi FIPS per la crittografia, l'hashing e la firma Mapping standard di conformità: |
= 1 (Registro di sistema) |
Importante |
Opzioni di sicurezza - Oggetti di sistema
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Oggetti di sistema: non richiedere distinzione tra maiuscole e minuscole per sottosistemi non Windows (CCE-37885-1) |
Descrizione: questa impostazione di criteri determina se la distinzione tra maiuscole e minuscole viene applicata per tutti i sottosistemi. Il sottosistema Microsoft Win32 non fa distinzione tra maiuscole e minuscole. Tuttavia, il kernel supporta la distinzione tra maiuscole e minuscole per altri sottosistemi, ad esempio l'interfaccia del sistema operativo portabile per UNIX (POSIX). Poiché Windows non fa distinzione tra maiuscole e minuscole (ma il sottosistema POSIX supporterà la distinzione tra maiuscole e minuscole), l'impossibilità di applicare questa impostazione di criterio consente a un utente del sottosistema POSIX di creare un file con lo stesso nome di un altro file usando la combinazione di maiuscole e minuscole per etichettarla. Una situazione di questo tipo può bloccare l'accesso a questi file da un altro utente che usa gli strumenti Win32 tipici, perché sarà disponibile solo uno dei file. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Oggetti di sistema: Richiedi distinzione tra maiuscole e minuscole per sottosistemi non Windows Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
Non esiste o = 1 (Registro di sistema) |
Avviso |
Oggetti di sistema: potenzia le autorizzazioni predefinite degli oggetti di sistema interni (ad esempio, i collegamenti simbolici) (CCE-37644-2) |
Descrizione: questa impostazione di criterio determina il livello di attendibilità dell'elenco di controllo di accesso discrezionale predefinito (DACL) per gli oggetti. Active Directory gestisce un elenco globale di risorse di sistema condivise, ad esempio nomi di dispositivo DOS, mutex e semafori. In questo modo, gli oggetti possono essere posizionati e condivisi tra i processi. Ogni tipo di oggetto viene creato con un DACL predefinito che specifica chi può accedere agli oggetti e quali autorizzazioni vengono concesse. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Oggetti sistema: Rafforzare le autorizzazioni predefinite degli oggetti di sistema interni (ad esempio, Collegamenti simbolici) a Enabled Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.3.15.2 |
= 1 (Registro di sistema) |
Critico |
Opzioni di sicurezza - Impostazioni di sistema
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software (AZ-WIN-00155) |
Descrizione: questa impostazione di criterio determina se i certificati digitali vengono elaborati quando i criteri di restrizione software sono abilitati e un utente o un processo tenta di eseguire software con un'estensione di file .exe. Abilita o disabilita le regole del certificato (un tipo di regola dei criteri di restrizione software). Con i criteri di restrizione software, è possibile creare una regola di certificato che consentirà o non consente l'esecuzione del software autenticato ® firmato, in base al certificato digitale associato al software. Per rendere effettive le regole dei certificati nei criteri di restrizione software, è necessario abilitare questa impostazione di criterio. Percorso chiave: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Impostazioni di sistema: Usa regole di certificato nei file eseguibili di Windows per i criteri di restrizione software Mapping standard di conformità: |
= 1 (Registro di sistema) |
Avviso |
Opzioni di sicurezza - Controllo dell'account utente
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo dell'account utente: modalità Approvazione amministratore per l'account amministratore predefinito (CCE-36494-3) |
Descrizione: questa impostazione di criterio controlla il comportamento della modalità approvazione amministratore per l'account amministratore predefinito. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: Modalità approvazione amministratore per l'account amministratore predefinito Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (Registro di sistema) |
Critico |
Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione senza utilizzare il desktop sicuro (CCE-36863-9) |
Descrizione: questa impostazione di criterio controlla se i programmi di accessibilità dell'interfaccia utente (UIAccess o UIA) possono disabilitare automaticamente il desktop sicuro per le richieste di elevazione dei privilegi usate da un utente standard. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: Consenti alle applicazioni UIAccess di richiedere l'elevazione dei privilegi senza usare il desktop sicuro Mapping standard di conformità: |
=0 (Registro di sistema) |
Critico |
Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore (CCE-37029-6) |
Descrizione: questa impostazione di criterio controlla il comportamento della richiesta di elevazione dei privilegi per gli amministratori. Lo stato consigliato per questa impostazione è: Prompt for consent on the secure desktop .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Prompt for consent on the secure desktop :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità approvazione amministratore Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (Registro di sistema) |
Critico |
Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard (CCE-36864-7) |
Descrizione: questa impostazione di criterio controlla il comportamento della richiesta di elevazione dei privilegi per gli utenti standard. Lo stato consigliato per questa impostazione è: Automatically deny elevation requests .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Automatically deny elevation requests: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
=0 (Registro di sistema) |
Critico |
Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione (CCE-36533-8) |
Descrizione: questa impostazione di criterio controlla il comportamento del rilevamento dell'installazione dell'applicazione per il computer. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: rilevare le installazioni delle applicazioni e richiedere l'elevazione dei privilegi Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (Registro di sistema) |
Critico |
Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri (CCE-37057-7) |
Descrizione: questa impostazione di criterio controlla se le applicazioni che richiedono l'esecuzione con un livello di integrità UIAccess (User Interface Accessibility) devono trovarsi in un percorso sicuro nel file system. I percorsi sicuri sono limitati ai seguenti: - …\Program Files\ , incluse le sottocartelle - …\Windows\system32\ …\Program Files (x86)\ - , incluse le sottocartelle per le versioni a 64 bit di Windows Nota: Windows applica un controllo della firma dell'infrastruttura a chiave pubblica (PKI) su qualsiasi applicazione interattiva che richiede l'esecuzione con un livello di integrità UIAccess indipendentemente dallo stato di questa impostazione di sicurezza. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: solo applicazioni UIAccess elevate installate in posizioni sicure Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (Registro di sistema) |
Critico |
Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore (CCE-36869-6) |
Descrizione: questa impostazione di criterio controlla il comportamento di tutte le impostazioni dei criteri controllo account utente per il computer. Se questa impostazione viene modificata, è necessario riavviare il computer. Lo stato consigliato per questa impostazione è: Enabled . Nota: se questa impostazione di criterio è disabilitata, il Centro sicurezza notifica che la sicurezza complessiva del sistema operativo è stata ridotta.Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: Esegui tutti gli amministratori in modalità approvazione amministratore Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (Registro di sistema) |
Critico |
Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro (CCE-36866-2) |
Descrizione: questa impostazione di criterio controlla se la richiesta di elevazione dei privilegi viene visualizzata sul desktop dell'utente interattivo o sul desktop protetto. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: passare al desktop protetto quando viene richiesta l'elevazione dei privilegi Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (Registro di sistema) |
Critico |
Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente (CCE-37064-3) |
Descrizione: questa impostazione di criterio controlla se gli errori di scrittura dell'applicazione vengono reindirizzati ai percorsi definiti del Registro di sistema e del file system. Questa impostazione di criterio riduce le applicazioni eseguite come amministratore e scrivono i dati dell'applicazione in fase di esecuzione in: - %ProgramFiles% , - %Windir% , %Windir%\system32 - o - HKEY_LOCAL_MACHINE\Software . Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo account utente: Virtualize file and registry write failures to per-user locations Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (Registro di sistema) |
Critico |
Impostazioni di sicurezza - Criteri account
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Soglia di blocchi dell'account (AZ-WIN-73311) |
Descrizione: questa impostazione di criterio determina il numero di tentativi di accesso non riusciti prima che l'account venga bloccato. L'impostazione di questo criterio su 0 non è conforme al benchmark perché in questo modo disabilita la soglia di blocco dell'account. Lo stato consigliato per questa impostazione è: 5 or fewer invalid logon attempt(s), but not 0 . Nota: le impostazioni dei criteri password (sezione 1.1) e le impostazioni dei criteri di blocco dell'account (sezione 1.2) devono essere applicate tramite l'oggetto Criteri di gruppo dei criteri di dominio predefiniti per rendere effettive a livello globale gli account utente di dominio come comportamento predefinito. Se queste impostazioni sono configurate in un altro oggetto Criteri di gruppo, avranno effetto solo sugli account utente locali nei computer che ricevono l'oggetto Criteri di gruppo. Tuttavia, le eccezioni personalizzate ai criteri password predefiniti e alle regole dei criteri di blocco dell'account per utenti e/o gruppi di dominio specifici possono essere definite usando oggetti impostazioni password (PSO), completamente separati da Criteri di gruppo e configurati più facilmente tramite il Centro di amministrazione di Active Directory.Percorso chiave: [Accesso di sistema]LockoutBadCount SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco account\Soglia di blocco account Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
In 1-3 (Criterio) |
Importante |
Imporre cronologia delle password (CCE-37166-6) |
Descrizione: Questa impostazione di criterio determina il numero di password univoche rinnovate che devono essere associate a un account utente prima di poter riutilizzare una vecchia password. Il valore per questa impostazione di criterio deve essere compreso tra 0 e 24 password. Il valore predefinito per Windows Vista è 0 password, ma l'impostazione predefinita in un dominio è 24 password. Per mantenere l'efficacia di questa impostazione di criterio, usare l'impostazione Validità minima password per impedire agli utenti di modificare ripetutamente la password. Lo stato consigliato per questa impostazione è: '24 o più password'. Percorso chiave: [Accesso di sistema]PasswordHistorySize Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su 24 or more password(s) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password\Imponi cronologia password Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 1.1.1 |
>= 24 (Criterio) |
Critico |
Validità massima password (CCE-37167-4) |
Descrizione: questa impostazione di criterio definisce per quanto tempo un utente può usare la password prima della scadenza. I valori per questa impostazione dei criteri sono compresi tra 0 e 999 giorni. Se si imposta il valore su 0, la password non scadrà mai. Poiché gli utenti malintenzionati possono violare le password, più frequentemente si modifica la password, minore è l'opportunità che un utente malintenzionato debba usare una password incriminata.Because attacker can crack password, the more frequently you change the password the less opportunity an attacker has to use a cracked password. Tuttavia, il valore più basso è impostato, maggiore è il potenziale per un aumento delle chiamate al supporto tecnico dell'help desk a causa della necessità di modificare la password o dimenticare la password corrente. Lo stato consigliato per questa impostazione è 60 or fewer days, but not 0 .Percorso chiave: [Accesso di sistema]MaximumPasswordAge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su 365 or fewer days, but not 0 :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password\Validità massima password Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 1.1.2 |
In 1-70 (Criterio) |
Critico |
Validità minima password (CCE-37073-4) |
Descrizione: questa impostazione di criterio determina il numero di giorni che è necessario usare una password prima di poterla modificare. L'intervallo di valori per questa impostazione di criterio è compreso tra 1 e 999 giorni. È anche possibile impostare il valore su 0 per consentire modifiche immediate alla password. Il valore predefinito per questa impostazione è 0 giorni. Lo stato consigliato per questa impostazione è: 1 or more day(s) .Percorso chiave: [Accesso di sistema]MinimumPasswordAge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su 1 or more day(s) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password\Validità minima password Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 1.1.3 |
>= 1 (Criterio) |
Critico |
Lunghezza minima password (CCE-36534-6) |
Descrizione: questa impostazione di criterio determina il numero minimo di caratteri che costituiscono una password per un account utente. Esistono molte teorie diverse su come determinare la lunghezza migliore della password per un'organizzazione, ma forse "pass phrase" è un termine migliore di "password". In Microsoft Windows 2000 o versioni successive, le frasi pass possono essere piuttosto lunghe e possono includere spazi. Pertanto, una frase come "Voglio bere un $5 milkshake" è una frase passe valida; è una password notevolmente più forte rispetto a una stringa di 8 o 10 caratteri di numeri casuali e lettere, ma è più facile da ricordare. Gli utenti devono essere istruiti sulla corretta selezione e manutenzione delle password, soprattutto per quanto riguarda la lunghezza delle password. Negli ambienti aziendali, il valore ideale per l'impostazione Lunghezza minima password è di 14 caratteri, ma è consigliabile modificare questo valore per soddisfare i requisiti aziendali dell'organizzazione. Lo stato consigliato per questa impostazione è: 14 or more character(s) .Percorso chiave: [Accesso di sistema]MinimumPasswordLength Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su 14 or more character(s) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password\Lunghezza minima password Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 1.1.4 |
>= 14 (Criterio) |
Critico |
Le password devono essere conformi ai requisiti di complessità (CCE-37063-5) |
Descrizione: questa impostazione di criterio controlla tutte le nuove password per assicurarsi che soddisfino i requisiti di base per le password complesse. Quando questo criterio è abilitato, le password devono soddisfare i requisiti minimi seguenti: - Non contiene il nome dell'account dell'utente o parti del nome completo dell'utente che superano due caratteri consecutivi - Avere almeno sei caratteri di lunghezza - Contenere caratteri da tre delle quattro categorie seguenti: - Caratteri maiuscoli (da A a Z) - Caratteri minuscoli in inglese (da a z) - Base 10 cifre (da 0 a 9) - Caratteri non alfabetici (ad esempio, caratteri non alfabetici), ad esempio !, $, #, %) - Categoria catch-all di qualsiasi carattere Unicode che non rientra nelle quattro categorie precedenti. Questa quinta categoria può essere specifica a livello regionale. Ogni carattere aggiuntivo in una password aumenta in modo esponenziale la complessità. Ad esempio, un sette caratteri, tutte le password alfabetiche minuscole avrebbero possibili combinazioni di 267 (circa 8 x 109 o 8 miliardi). A 1.000.000 tentativi al secondo (una funzionalità di molte utilità di cracking delle password), ci vorranno solo 133 minuti per rompere. Una password alfabetica a sette caratteri con distinzione tra maiuscole e minuscole ha 527 combinazioni. Una password alfanumerica con distinzione tra maiuscole e minuscole a sette caratteri senza punteggiatura ha 627 combinazioni. Una password a otto caratteri ha combinazioni possibili di 268 (o 2 x 1011). Anche se questo potrebbe sembrare un numero elevato, a 1.000.000 tentativi al secondo sarebbe necessario solo 59 ore per provare tutte le password possibili. Tenere presente che questi tempi aumentano significativamente per le password che usano caratteri ALT e altri caratteri speciali della tastiera, ad esempio "!" o "@". L'uso corretto delle impostazioni della password può rendere difficile montare un attacco di forza bruta. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: [Accesso al sistema]PasswordComplexity Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password\Password deve soddisfare i requisiti di complessità Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (Criterio) |
Critico |
Reimposta conteggio blocco account dopo (AZ-WIN-73309) |
Descrizione: questa impostazione di criterio determina il periodo di tempo prima che la soglia di blocco dell'account venga reimpostata su zero. Il valore predefinito per questa impostazione di criterio è Non definito. Se viene definita la soglia di blocco dell'account, questo tempo di reimpostazione deve essere minore o uguale al valore per l'impostazione Durata blocco account. Se si lascia questa impostazione di criterio al valore predefinito o si configura il valore su un intervallo troppo lungo, l'ambiente potrebbe essere vulnerabile a un attacco DoS. Un utente malintenzionato potrebbe eseguire in modo dannoso diversi tentativi di accesso non riusciti su tutti gli utenti dell'organizzazione, che bloccano i propri account. Se non sono stati determinati criteri per reimpostare il blocco dell'account, si tratta di un'attività manuale per gli amministratori. Viceversa, se per questa impostazione di criterio è configurato un valore di tempo ragionevole, gli utenti verranno bloccati per un periodo impostato fino a quando tutti gli account non vengono sbloccati automaticamente. Lo stato consigliato per questa impostazione è: 15 or more minute(s) . Nota: le impostazioni dei criteri password (sezione 1.1) e le impostazioni dei criteri di blocco dell'account (sezione 1.2) devono essere applicate tramite l'oggetto Criteri di gruppo dei criteri di dominio predefiniti per rendere effettive a livello globale gli account utente di dominio come comportamento predefinito. Se queste impostazioni sono configurate in un altro oggetto Criteri di gruppo, avranno effetto solo sugli account utente locali nei computer che ricevono l'oggetto Criteri di gruppo. Tuttavia, le eccezioni personalizzate ai criteri password predefiniti e alle regole dei criteri di blocco dell'account per utenti e/o gruppi di dominio specifici possono essere definite usando oggetti impostazioni password (PSO), completamente separati da Criteri di gruppo e configurati più facilmente tramite il Centro di amministrazione di Active Directory.Percorso chiave: [Accesso di sistema]ResetLockoutCount Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco account\Reimposta contatore blocco account dopo Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (Criterio) |
Importante |
Archivia password mediante crittografia reversibile (CCE-36286-3) |
Descrizione: questa impostazione di criteri determina se il sistema operativo archivia le password in modo da usare la crittografia reversibile, che fornisce il supporto per i protocolli dell'applicazione che richiedono la conoscenza della password dell'utente a scopo di autenticazione. Le password archiviate con crittografia reversibile sono essenzialmente le stesse delle versioni in testo non crittografato delle password. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: [Accesso di sistema]ClearTextPassword Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password\Archiviare le password usando la crittografia reversibile Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
=0 (Criterio) |
Critico |
Impostazioni di sicurezza - Windows Firewall
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Windows Firewall: Dominio: Consenti risposta unicast (AZ-WIN-00088) |
Descrizione: Questa opzione è utile se è necessario controllare se il computer riceve risposte unicast ai messaggi multicast o broadcast in uscita. È consigliabile impostare questa impostazione su "Sì" per i profili privati e di dominio. Il valore del Registro di sistema verrà impostato su 0. Percorso chiave: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo di dominio\Impostazioni (selezionare Personalizza)\Unicast risposta, Consenti risposta unicast Mapping standard di conformità: |
=0 (Registro di sistema) |
Avviso |
Windows Firewall: dominio: stato del firewall (CCE-36062-8) |
Descrizione: selezionare Sì (scelta consigliata) per fare in modo che Windows Firewall con sicurezza avanzata usi le impostazioni per questo profilo per filtrare il traffico di rete. Se si seleziona No, Windows Firewall con protezione avanzata non userà le regole del firewall o le regole di sicurezza di connessione per questo profilo. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su On (recommended) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Stato firewall Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.1.1 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Dominio: Connessioni in ingresso (AZ-WIN-202252) |
Descrizione: questa impostazione determina il comportamento per le connessioni in ingresso che non corrispondono a una regola del firewall in ingresso. Lo stato consigliato per questa impostazione è: Block (default) .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Connessioni in ingresso Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Dominio: Registrazione: Pacchetti eliminati dal log (AZ-WIN-202226) |
Descrizione: usare questa opzione per registrare quando Windows Firewall con sicurezza avanzata rimuove un pacchetto in ingresso per qualsiasi motivo. Il log registra perché e quando il pacchetto è stato eliminato. Cercare le voci con la parola DROP nella colonna action del log. Lo stato consigliato per questa impostazione è: Yes .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Personalizzazione registrazione\Pacchetti eliminati dal log Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (Registro di sistema) |
Informazioni |
Windows Firewall: Dominio: Registrazione: Log delle connessioni riuscite (AZ-WIN-202227) |
Descrizione: usare questa opzione per registrare quando Windows Firewall con sicurezza avanzata consente una connessione in ingresso. Il log registra il motivo e il momento in cui è stata creata la connessione. Cercare le voci con la parola ALLOW nella colonna action del log. Lo stato consigliato per questa impostazione è: Yes .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Registrazione Personalizza\Log connessioni riuscite Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (Registro di sistema) |
Avviso |
Windows Firewall: Dominio: Registrazione: Nome (AZ-WIN-202224) |
Descrizione: usare questa opzione per specificare il percorso e il nome del file in cui Windows Firewall scriverà le relative informazioni di log. Lo stato consigliato per questa impostazione è: %SystemRoot%\System32\logfiles\firewall\domainfw.log .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Personalizzazione registrazione\Nome Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (Registro di sistema) |
Informazioni |
Windows Firewall: Dominio: Registrazione: Limite dimensioni (KB) (AZ-WIN-202225) |
Descrizione: usare questa opzione per specificare il limite di dimensioni del file in cui Windows Firewall scriverà le relative informazioni di log. Lo stato consigliato per questa impostazione è: 16,384 KB or greater .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Registrazione personalizza\Limite dimensioni (KB) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (Registro di sistema) |
Avviso |
Windows Firewall: Dominio: Connessioni in uscita (CCE-36146-9) |
Descrizione: questa impostazione determina il comportamento per le connessioni in uscita che non corrispondono a una regola del firewall in uscita. In Windows Vista il comportamento predefinito consiste nell'consentire le connessioni, a meno che non siano presenti regole del firewall che bloccano la connessione. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Allow (default) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Connessioni in uscita Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.1.3 |
=0 (Registro di sistema) |
Critico |
Windows Firewall: Dominio: Impostazioni: Applica regole di sicurezza della connessione locale (CCE-38040-2) |
Descrizione: Questa impostazione controlla se gli amministratori locali possono creare regole di connessione locali che si applicano insieme alle regole del firewall configurate da Criteri di gruppo. Lo stato consigliato per questa impostazione è "Sì", il valore del Registro di sistema verrà impostato su 1. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo di dominio\Impostazioni (selezionare Personalizza)\Unione delle regole di connessione locali, Applica regole di sicurezza della connessione locale Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.6 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Dominio: Impostazioni: Applica regole del firewall locale (CCE-37860-4) |
Descrizione: Questa impostazione controlla se gli amministratori locali possono creare regole del firewall locali che si applicano insieme alle regole del firewall configurate da Criteri di gruppo. Lo stato consigliato per questa impostazione è Sì. Il valore del Registro di sistema verrà impostato su 1. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo di dominio\Impostazioni (selezionare Personalizza)\Unione regole firewall locali Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.5 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Windows Firewall: Dominio: Impostazioni: Visualizzare una notifica (CCE-38041-0) |
Descrizione: Selezionando questa opzione, all'utente non viene visualizzata alcuna notifica quando un programma non riceve connessioni in ingresso. In un ambiente server, i popup non sono utili perché gli utenti non sono connessi, i popup non sono necessari e possono aggiungere confusione per l'amministratore. Configurare questa impostazione di criterio su "No", il valore del Registro di sistema verrà impostato su 1. Windows Firewall non visualizzerà una notifica quando un programma non riceve connessioni in ingresso. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo di dominio\Personalizza impostazioni\Visualizza una notifica Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.1.4 |
= 1 (Registro di sistema) |
Avviso |
Windows Firewall: Privato: Consenti risposta unicast (AZ-WIN-00089) |
Descrizione: Questa opzione è utile se è necessario controllare se il computer riceve risposte unicast ai messaggi multicast o broadcast in uscita. È consigliabile impostare questa impostazione su "Sì" per i profili privati e di dominio. Il valore del Registro di sistema verrà impostato su 0. Percorso chiave: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo privato\Impostazioni (selezionare Personalizza)\Unicast risposta, Consenti risposta unicast Mapping standard di conformità: |
=0 (Registro di sistema) |
Avviso |
Windows Firewall: privato: stato del firewall (CCE-38239-0) |
Descrizione: selezionare Sì (scelta consigliata) per fare in modo che Windows Firewall con sicurezza avanzata usi le impostazioni per questo profilo per filtrare il traffico di rete. Se si seleziona No, Windows Firewall con protezione avanzata non userà le regole del firewall o le regole di sicurezza di connessione per questo profilo. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su On (recommended) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà windows Firewall\Profilo privato\Stato firewall Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.2.1 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: privato: connessioni in ingresso (AZ-WIN-202228) |
Descrizione: questa impostazione determina il comportamento per le connessioni in ingresso che non corrispondono a una regola del firewall in ingresso. Lo stato consigliato per questa impostazione è: Block (default) .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo privato\Connessioni in ingresso Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Private: Logging: Log dropped packets (AZ-WIN-202231) |
Descrizione: usare questa opzione per registrare quando Windows Firewall con sicurezza avanzata rimuove un pacchetto in ingresso per qualsiasi motivo. Il log registra perché e quando il pacchetto è stato eliminato. Cercare le voci con la parola DROP nella colonna action del log. Lo stato consigliato per questa impostazione è: Yes .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo privato\Registrazione personalizzazione\Pacchetti eliminati dal log Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (Registro di sistema) |
Informazioni |
Windows Firewall: Privato: Registrazione: Log delle connessioni riuscite (AZ-WIN-202232) |
Descrizione: usare questa opzione per registrare quando Windows Firewall con sicurezza avanzata consente una connessione in ingresso. Il log registra il motivo e il momento in cui è stata creata la connessione. Cercare le voci con la parola ALLOW nella colonna action del log. Lo stato consigliato per questa impostazione è: Yes .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo privato\Registrazione personalizzazione\Log connessioni riuscite Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (Registro di sistema) |
Avviso |
Windows Firewall: Privato: Registrazione: Nome (AZ-WIN-202229) |
Descrizione: usare questa opzione per specificare il percorso e il nome del file in cui Windows Firewall scriverà le relative informazioni di log. Lo stato consigliato per questa impostazione è: %SystemRoot%\System32\logfiles\firewall\privatefw.log .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo privato\Registrazione personalizza\Nome Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (Registro di sistema) |
Informazioni |
Windows Firewall: Privato: Registrazione: Limite dimensioni (KB) (AZ-WIN-202230) |
Descrizione: usare questa opzione per specificare il limite di dimensioni del file in cui Windows Firewall scriverà le relative informazioni di log. Lo stato consigliato per questa impostazione è: 16,384 KB or greater .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo privato\Registrazione personalizza\Limite dimensioni (KB) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (Registro di sistema) |
Avviso |
Windows Firewall: privato: connessioni in uscita (CCE-38332-3) |
Descrizione: questa impostazione determina il comportamento per le connessioni in uscita che non corrispondono a una regola del firewall in uscita. Il comportamento predefinito consiste nell'consentire le connessioni a meno che non siano presenti regole del firewall che bloccano la connessione. Importante Se si impostano connessioni in uscita su Blocca e quindi si distribuiscono i criteri firewall usando un oggetto Criteri di gruppo, i computer che ricevono le impostazioni dell'oggetto Criteri di gruppo non possono ricevere aggiornamenti successivi di Criteri di gruppo a meno che non si crei e si distribuisca una regola in uscita che consenta il funzionamento di Criteri di gruppo. Le regole predefinite per la rete di base includono regole in uscita che consentono il funzionamento di Criteri di gruppo. Assicurarsi che queste regole in uscita siano attive e testare accuratamente i profili firewall prima della distribuzione. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Allow (default) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo privato\Connessioni in uscita Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.2.3 |
=0 (Registro di sistema) |
Critico |
Windows Firewall: Privato: Impostazioni: Applica regole di sicurezza della connessione locale (CCE-36063-6) |
Descrizione: Questa impostazione controlla se gli amministratori locali possono creare regole di connessione locali che si applicano insieme alle regole del firewall configurate da Criteri di gruppo. Lo stato consigliato per questa impostazione è "Sì", il valore del Registro di sistema verrà impostato su 1. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo privato\Impostazioni (selezionare Personalizza)\Unione delle regole, Applica regole di sicurezza della connessione locale Mapping standard di conformità: |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Privato: Impostazioni: Applica regole del firewall locale (CCE-37438-9) |
Descrizione: Questa impostazione controlla se gli amministratori locali possono creare regole del firewall locali che si applicano insieme alle regole del firewall configurate da Criteri di gruppo. Lo stato consigliato per questa impostazione è Sì. Il valore del Registro di sistema verrà impostato su 1. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo privato\Impostazioni (selezionare Personalizza)\Unione delle regole del firewall locale, Applica regole del firewall locale Mapping standard di conformità: |
Non esiste o = 1 (Registro di sistema) |
Critico |
Windows Firewall: Privato: Impostazioni: Visualizzare una notifica (CCE-37621-0) |
Descrizione: Selezionando questa opzione, all'utente non viene visualizzata alcuna notifica quando un programma non riceve connessioni in ingresso. In un ambiente server, i popup non sono utili perché gli utenti non sono connessi, i popup non sono necessari e possono aggiungere confusione per l'amministratore. Configurare questa impostazione di criterio su "No", il valore del Registro di sistema verrà impostato su 1. Windows Firewall non visualizzerà una notifica quando un programma non riceve connessioni in ingresso. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà windows Firewall\Profilo privato\Impostazioni Personalizza\Visualizza una notifica Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.2.4 |
= 1 (Registro di sistema) |
Avviso |
Windows Firewall: Pubblico: Consenti risposta unicast (AZ-WIN-00090) |
Descrizione: Questa opzione è utile se è necessario controllare se il computer riceve risposte unicast ai messaggi multicast o broadcast in uscita. A tale scopo, è possibile modificare lo stato per questa impostazione su "No", impostando il valore del Registro di sistema su 1. Percorso chiave: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall (questo collegamento sarà nel riquadro destro)\Scheda Profilo pubblico\Impostazioni (selezionare Personalizza)\Unicast risposta, Consenti risposta unicast Mapping standard di conformità: |
= 1 (Registro di sistema) |
Avviso |
Windows Firewall: pubblico: stato del firewall (CCE-37862-0) |
Descrizione: selezionare Sì (scelta consigliata) per fare in modo che Windows Firewall con sicurezza avanzata usi le impostazioni per questo profilo per filtrare il traffico di rete. Se si seleziona No, Windows Firewall con protezione avanzata non userà le regole del firewall o le regole di sicurezza di connessione per questo profilo. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su On (recommended) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Stato firewall Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.1 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Pubblico: Connessioni in ingresso (AZ-WIN-202234) |
Descrizione: questa impostazione determina il comportamento per le connessioni in ingresso che non corrispondono a una regola del firewall in ingresso. Lo stato consigliato per questa impostazione è: Block (default) .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Connessioni in ingresso Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Public: Logging: Log dropped packets (AZ-WIN-202237) |
Descrizione: usare questa opzione per registrare quando Windows Firewall con sicurezza avanzata rimuove un pacchetto in ingresso per qualsiasi motivo. Il log registra perché e quando il pacchetto è stato eliminato. Cercare le voci con la parola DROP nella colonna action del log. Lo stato consigliato per questa impostazione è: Yes .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Personalizzazione registrazione\Pacchetti eliminati dal log Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (Registro di sistema) |
Informazioni |
Windows Firewall: Public: Logging: Log successful connections (Windows Firewall: Public: Logging: Log successful connections) (AZ-WIN-202233) |
Descrizione: usare questa opzione per registrare quando Windows Firewall con sicurezza avanzata consente una connessione in ingresso. Il log registra il motivo e il momento in cui è stata creata la connessione. Cercare le voci con la parola ALLOW nella colonna action del log. Lo stato consigliato per questa impostazione è: Yes .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Personalizzazione\Log connessioni riuscite Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (Registro di sistema) |
Avviso |
Windows Firewall: Pubblico: Registrazione: Nome (AZ-WIN-202235) |
Descrizione: usare questa opzione per specificare il percorso e il nome del file in cui Windows Firewall scriverà le relative informazioni di log. Lo stato consigliato per questa impostazione è: %SystemRoot%\System32\logfiles\firewall\publicfw.log .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Personalizzazione\Nome Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (Registro di sistema) |
Informazioni |
Windows Firewall: Public: Logging: Size limit (KB) (AZ-WIN-202236) |
Descrizione: usare questa opzione per specificare il limite di dimensioni del file in cui Windows Firewall scriverà le relative informazioni di log. Lo stato consigliato per questa impostazione è: 16,384 KB or greater .Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Registrazione personalizza\Limite dimensioni (KB) Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (Registro di sistema) |
Informazioni |
Windows Firewall: Pubblico: Connessioni in uscita (CCE-37434-8) |
Descrizione: questa impostazione determina il comportamento per le connessioni in uscita che non corrispondono a una regola del firewall in uscita. Il comportamento predefinito consiste nell'consentire le connessioni a meno che non siano presenti regole del firewall che bloccano la connessione. Importante Se si impostano connessioni in uscita su Blocca e quindi si distribuiscono i criteri firewall usando un oggetto Criteri di gruppo, i computer che ricevono le impostazioni dell'oggetto Criteri di gruppo non possono ricevere aggiornamenti successivi di Criteri di gruppo a meno che non si crei e si distribuisca una regola in uscita che consenta il funzionamento di Criteri di gruppo. Le regole predefinite per la rete di base includono regole in uscita che consentono il funzionamento di Criteri di gruppo. Assicurarsi che queste regole in uscita siano attive e testare accuratamente i profili firewall prima della distribuzione. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Allow (default) :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Connessioni in uscita Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.3 |
=0 (Registro di sistema) |
Critico |
Windows Firewall: Public: Settings: Apply local connection security rules (Windows Firewall: Public: Settings: Apply local connection security rules) (CCE-36268-1) |
Descrizione: Questa impostazione controlla se gli amministratori locali possono creare regole di connessione locali che si applicano insieme alle regole del firewall configurate da Criteri di gruppo. Lo stato consigliato per questa impostazione è "Sì", il valore del Registro di sistema verrà impostato su 1. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà windows Firewall\Profilo pubblico\Impostazioni Personalizza\Applica regole di sicurezza della connessione locale Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.6 |
= 1 (Registro di sistema) |
Critico |
Windows Firewall: Pubblico: Impostazioni: Applica regole firewall locali (CCE-37861-2) |
Descrizione: Questa impostazione controlla se gli amministratori locali possono creare regole del firewall locali che si applicano insieme alle regole del firewall configurate da Criteri di gruppo. Lo stato consigliato per questa impostazione è Sì. Il valore del Registro di sistema verrà impostato su 1. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Impostazioni Personalizza\Applica regole del firewall locali Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.5 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Windows Firewall: Pubblico: Impostazioni: Visualizzare una notifica (CCE-38043-6) |
Descrizione: Selezionando questa opzione, all'utente non viene visualizzata alcuna notifica quando un programma non riceve connessioni in ingresso. In un ambiente server, i popup non sono utili perché gli utenti non sono connessi, i popup non sono necessari e possono aggiungere confusione per l'amministratore. Configurare questa impostazione di criterio su "No", il valore del Registro di sistema verrà impostato su 1. Windows Firewall non visualizzerà una notifica quando un programma non riceve connessioni in ingresso. Percorso chiave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Windows Firewall con sicurezza avanzata\Windows Firewall con sicurezza avanzata\Proprietà di Windows Firewall\Profilo pubblico\Impostazioni Personalizza\Visualizza una notifica Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 9.3.4 |
= 1 (Registro di sistema) |
Avviso |
Criteri di controllo del sistema - Accesso account
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo convalida credenziali (CCE-37741-6) |
Descrizione: Questa sottocategoria segnala i risultati dei test di convalida sulle credenziali inviate per una richiesta di accesso all'account utente. Questi eventi si verificano nel computer autorevole per le credenziali. Per gli account di dominio è autorevole il controller di dominio, mentre per gli account locali è autorevole il computer locale. Negli ambienti di dominio, la maggior parte degli eventi di accesso dell'account si verifica nel log di sicurezza dei controller di dominio autorevoli per gli account di dominio. Tuttavia, questi eventi possono verificarsi in altri computer dell'organizzazione quando vengono usati gli account locali per accedere. Gli eventi per questa sottocategoria includono: - 4774: è stato eseguito il mapping di un account per l'accesso. - 4775: Non è stato possibile eseguire il mapping di un account per l'accesso. - 4776: il controller di dominio ha tentato di convalidare le credenziali per un account. - 4777: Il controller di dominio non è riuscito a convalidare le credenziali per un account. Lo stato consigliato per questa impostazione è: 'Operazione riuscita e errore'. Percorso chiave: {0CCE923F-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso account\Controlla convalida delle credenziali Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Esito positivo e negativo (Controllo) |
Critico |
Controllo del servizio di autenticazione Kerberos (AZ-WIN-00004) |
Descrizione: questa sottocategoria segnala i risultati degli eventi generati dopo una richiesta TGT di autenticazione Kerberos. Kerberos è un servizio di autenticazione distribuita che consente a un client in esecuzione per conto di un utente di dimostrare la propria identità a un server senza inviare dati attraverso la rete. Ciò consente di attenuare un utente malintenzionato o un server dalla rappresentazione di un utente. - 4768: è stato richiesto un ticket di autenticazione Kerberos (TGT). - 4771: Preautenticazione Kerberos non riuscita. - 4772: Richiesta di ticket di autenticazione Kerberos non riuscita. Lo stato consigliato per questa impostazione è: Success and Failure .Percorso chiave: {0CCE9242-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso account\Controlla servizio di autenticazione Kerberos Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= Esito positivo e negativo (Controllo) |
Critico |
Criteri di controllo del sistema - Gestione account
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo della gestione dei gruppi di distribuzione (CCE-36265-7) |
Descrizione: questa sottocategoria segnala ogni evento di gestione dei gruppi di distribuzione, ad esempio quando viene creato, modificato o eliminato un gruppo di distribuzione o quando un membro viene aggiunto o rimosso da un gruppo di distribuzione. Se si abilita questa impostazione di criteri di controllo, gli amministratori possono tenere traccia degli eventi per rilevare account di gruppo dannosi, accidentali e autorizzati. Gli eventi per questa sottocategoria includono: - 4744: è stato creato un gruppo locale disabilitato per la sicurezza. - 4745: un gruppo locale disabilitato per la sicurezza è stato modificato. - 4746: un membro è stato aggiunto a un gruppo locale disabilitato per la sicurezza. - 4747: un membro è stato rimosso da un gruppo locale disabilitato dalla sicurezza. - 4748: è stato eliminato un gruppo locale disabilitato per la sicurezza. - 4749: è stato creato un gruppo globale disabilitato per la sicurezza. - 4750: un gruppo globale disabilitato per la sicurezza è stato modificato. - 4751: un membro è stato aggiunto a un gruppo globale disabilitato per la sicurezza. - 4752: Un membro è stato rimosso da un gruppo globale disabilitato per la sicurezza. - 4753: Un gruppo globale disabilitato per la sicurezza è stato eliminato. - 4759: è stato creato un gruppo universale disabilitato per la sicurezza. - 4760: un gruppo universale disabilitato per la sicurezza è stato modificato. - 4761: un membro è stato aggiunto a un gruppo universale disabilitato per la sicurezza. - 4762: Un membro è stato rimosso da un gruppo universale disabilitato per la sicurezza. - 4763: un gruppo universale disabilitato per la sicurezza è stato eliminato. Lo stato consigliato per questa impostazione consiste nell'includere: Success .Percorso chiave: {0CCE9238-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Gestione account\Controlla gestione gruppi di distribuzione Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo Altri eventi di gestione account (CCE-37855-4) |
Descrizione: questa sottocategoria segnala altri eventi di gestione degli account. Gli eventi per questa sottocategoria includono: - 4782: l'hash della password a cui è stato eseguito l'accesso a un account. — 4793: l'API di controllo dei criteri password è stata chiamata. Fare riferimento all'articolo della Microsoft Knowledge Base "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE923A-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Gestione account\Controlla altri eventi di gestione account Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.2.4 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo della gestione dei gruppi di sicurezza (CCE-38034-5) |
Descrizione: questa sottocategoria segnala ogni evento di gestione dei gruppi di sicurezza, ad esempio quando viene creato, modificato o eliminato un gruppo di sicurezza o quando un membro viene aggiunto o rimosso da un gruppo di sicurezza. Se si abilita questa impostazione dei criteri di controllo, gli amministratori possono tenere traccia degli eventi per rilevare account di gruppo di sicurezza dannosi, accidentali e autorizzati. Gli eventi per questa sottocategoria includono: - 4727: è stato creato un gruppo globale abilitato per la sicurezza. - 4728: un membro è stato aggiunto a un gruppo globale abilitato per la sicurezza. - 4729: Un membro è stato rimosso da un gruppo globale abilitato per la sicurezza. - 4730: è stato eliminato un gruppo globale abilitato per la sicurezza. - 4731: è stato creato un gruppo locale abilitato per la sicurezza. - 4732: un membro è stato aggiunto a un gruppo locale abilitato per la sicurezza. - 4733: Un membro è stato rimosso da un gruppo locale abilitato per la sicurezza. - 4734: è stato eliminato un gruppo locale abilitato per la sicurezza. - 4735: un gruppo locale abilitato per la sicurezza è stato modificato. - 4737: un gruppo globale abilitato per la sicurezza è stato modificato. - 4754: è stato creato un gruppo universale abilitato per la sicurezza. - 4755: un gruppo universale abilitato per la sicurezza è stato modificato. - 4756: un membro è stato aggiunto a un gruppo universale abilitato per la sicurezza. - 4757: Un membro è stato rimosso da un gruppo universale abilitato per la sicurezza. - 4758: un gruppo universale abilitato per la sicurezza è stato eliminato. - 4764: il tipo di un gruppo è stato modificato. Lo stato consigliato per questa impostazione è: Success and Failure .Percorso chiave: {0CCE9237-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Gestione account\Controlla gestione gruppi di sicurezza Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.2.5 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo della gestione di account utente (CCE-37856-2) |
Descrizione: questa sottocategoria segnala ogni evento di gestione degli account utente, ad esempio quando viene creato, modificato o eliminato un account utente, viene rinominato, disabilitato o abilitato oppure viene impostata o modificata una password. Se si abilita questa impostazione di criteri di controllo, gli amministratori possono tenere traccia degli eventi per rilevare la creazione di account utente dannosi, accidentali e autorizzati. Gli eventi per questa sottocategoria includono: - 4720: È stato creato un account utente. - 4722: Un account utente è stato abilitato. - 4723: Tentativo di modificare la password di un account. - 4724: Tentativo di reimpostare la password di un account. - 4725: Un account utente è stato disabilitato. - 4726: Un account utente è stato eliminato. - 4738: Un account utente è stato modificato. - 4740: un account utente è stato bloccato. - 4765: Cronologia SID è stata aggiunta a un account. - 4766: tentativo di aggiungere cronologia SID a un account non riuscito. - 4767: Un account utente è stato sbloccato. - 4780: L'ACL è stato impostato sugli account che sono membri dei gruppi di amministratori. - 4781: il nome di un account è stato modificato: - 4794: è stato effettuato un tentativo di impostare la modalità di ripristino dei servizi directory. - 5376: backup delle credenziali di Gestione credenziali. - 5377: Le credenziali di Gestione credenziali sono state ripristinate da un backup. Lo stato consigliato per questa impostazione è: Success and Failure .Percorso chiave: {0CCE9235-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Gestione account\Controlla gestione account utente Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Esito positivo e negativo (Controllo) |
Critico |
Criteri di controllo del sistema - Rilevamento dettagliato
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controlla attività Plug and Play (AZ-WIN-00182) |
Descrizione: questa impostazione di criterio consente di controllare quando plug and play rileva un dispositivo esterno. Lo stato consigliato per questa impostazione è: Success . Nota: è necessario un sistema operativo Windows 10, Server 2016 o versione successiva per accedere e impostare questo valore in Criteri di gruppo.Percorso chiave: {0CCE9248-69AE-11D9-BED3-505054503030} SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Controllo: Forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versione successiva) per eseguire l'override delle impostazioni della categoria dei criteri di controllo Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Operazione riuscita (Controllo) |
Critico |
Creazione processo di controllo (CCE-36059-4) |
Descrizione: questa sottocategoria segnala la creazione di un processo e il nome del programma o dell'utente che lo ha creato. Gli eventi per questa sottocategoria includono: - 4688: è stato creato un nuovo processo. - 4696: un token primario è stato assegnato al processo. Per informazioni più recenti su questa impostazione, vedere l'articolo della Microsoft Knowledge Base 947226. Lo stato consigliato per questa impostazione è: Success .Percorso chiave: {0CCE922B-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata dei criteri di controllo\Criteri di controllo\Rilevamento dettagliato\Controllo creazione processo Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Operazione riuscita (Controllo) |
Critico |
Criteri di controllo del sistema - Accesso DS
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo dell'accesso al servizio directory (CCE-37433-0) |
Descrizione: questa sottocategoria segnala quando si accede a un oggetto Active Directory Domain Services. Solo gli oggetti con sacche causano la generazione degli eventi di controllo e solo quando si accede in modo che corrisponda al sacl. Questi eventi sono simili agli eventi di accesso al servizio directory nelle versioni precedenti di Windows Server. Questa sottocategoria si applica solo ai controller di dominio. Gli eventi per questa sottocategoria includono: - 4662 : un'operazione è stata eseguita su un oggetto . Lo stato consigliato per questa impostazione consiste nell'includere: Failure .Percorso chiave: {0CCE923B-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\DS Access\Audit Directory Service Access Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Errore (Controllo) |
Critico |
Controllo delle modifiche al servizio directory (CCE-37616-0) |
Descrizione: questa sottocategoria segnala le modifiche apportate agli oggetti in Dominio di Active Directory Services (AD DS). I tipi di modifiche segnalate sono operazioni di creazione, modifica, spostamento e annullamento dell'eliminazione eseguite su un oggetto. Il controllo delle modifiche DS, se appropriato, indica i valori precedenti e nuovi delle proprietà modificate degli oggetti modificati. Solo gli oggetti con sacche causano la generazione degli eventi di controllo e solo quando si accede in modo che corrisponda al sacl. Alcuni oggetti e proprietà non causano la generazione di eventi di controllo a causa delle impostazioni della classe oggetto nello schema. Questa sottocategoria si applica solo ai controller di dominio. Gli eventi per questa sottocategoria includono: - 5136 : Un oggetto servizio directory è stato modificato. - 5137: è stato creato un oggetto servizio directory. - 5138: un oggetto servizio directory non è stato eseguito. - 5139: un oggetto servizio directory è stato spostato. Lo stato consigliato per questa impostazione consiste nell'includere: Success .Percorso chiave: {0CCE923C-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\DS Access\Controlla modifiche al servizio directory Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo della replica del servizio directory (AZ-WIN-00093) |
Descrizione: questa sottocategoria segnala quando inizia e termina la replica tra due controller di dominio. Gli eventi per questa sottocategoria includono: - 4932: è iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory. – 4933: la sincronizzazione di una replica di un contesto di denominazione di Active Directory è terminata. Per informazioni più recenti su questa impostazione, vedere l'articolo "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: http:--support.microsoft.com-default.aspx-kb-947226 Percorso chiave: {0CCE923D-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\DS Access\Audit Directory Service Replication Mapping standard di conformità: |
>= Nessun controllo (Controllo) |
Critico |
Criteri di controllo del sistema - Logon-Logoff
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo del blocco account (CCE-37133-6) |
Descrizione: questa sottocategoria segnala quando l'account di un utente è bloccato a causa di troppi tentativi di accesso non riusciti. Gli eventi per questa sottocategoria includono: - 4625: Un account non è riuscito ad accedere. Fare riferimento all'articolo della Microsoft KnowledgeBase "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9217-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata dei criteri di controllo\Criteri di controllo\Accesso/Disconnessione\Controlla blocco account Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.5.1 |
>= Errore (Controllo) |
Critico |
Controllo dell’appartenenza a gruppi (AZ-WIN-00026) |
Descrizione: Controlla appartenenza a gruppi consente di controllare le appartenenze ai gruppi quando vengono enumerate nel computer client. Questo criterio consente di controllare le informazioni sull'appartenenza al gruppo nel token di accesso dell'utente. Gli eventi in questa sottocategoria vengono generati nel computer in cui viene creata una sessione di accesso. Per un accesso interattivo, l'evento di controllo di sicurezza viene generato nel computer a cui l'utente ha eseguito l'accesso. Per un accesso di rete, ad esempio l'accesso a una cartella condivisa in rete, l'evento di controllo di sicurezza viene generato nel computer che ospita la risorsa. È anche necessario abilitare la sottocategoria Controllo accesso. Se le informazioni sull'appartenenza al gruppo non possono essere incluse in un singolo evento di controllo di sicurezza, vengono generati più eventi. Gli eventi controllati includono: - 4627(S): Informazioni sull'appartenenza al gruppo. Percorso chiave: {0CCE9249-69AE-11D9-BED3-505054503030} SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata dei criteri di controllo\Criteri di controllo\Accesso/Disconnessione\Controlla appartenenza a gruppi Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.5.2 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo della disconnessione (CCE-38237-4) |
Descrizione: Questa sottocategoria segnala quando un utente si disconnette dal sistema. Questi eventi si verificano nel computer a cui è stato eseguito l'accesso. Per gli accessi interattivi, la generazione di questi eventi si verifica nel computer a cui è connesso. Se si verifica un accesso di rete per accedere a una condivisione, questi eventi vengono generati nel computer che ospita la risorsa a cui si accede. Se si configura questa impostazione su Nessun controllo, è difficile o impossibile determinare quale utente ha eseguito l'accesso o ha tentato di accedere ai computer dell'organizzazione. Gli eventi per questa sottocategoria includono: - 4634: un account è stato disconnesso. - 4647: disconnessione avviata dall'utente. Lo stato consigliato per questa impostazione è: 'Operazione riuscita'. Percorso chiave: {0CCE9216-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso/Disconnessione\Controlla disconnessione\Controlla disconnessione Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo dell’accesso (CCE-38036-0) |
Descrizione: Questa sottocategoria segnala quando un utente tenta di accedere al sistema. Questi eventi si verificano nel computer a cui è stato eseguito l'accesso. Per gli accessi interattivi, la generazione di questi eventi si verifica nel computer a cui è connesso. Se si verifica un accesso di rete per accedere a una condivisione, questi eventi vengono generati nel computer che ospita la risorsa a cui si accede. Se si configura questa impostazione su Nessun controllo, è difficile o impossibile determinare quale utente ha eseguito l'accesso o ha tentato di accedere ai computer dell'organizzazione. Gli eventi per questa sottocategoria includono: - 4624: Un account è stato connesso correttamente. - 4625: Un account non è riuscito ad accedere. - 4648: tentativo di accesso con credenziali esplicite. - 4675: I SID sono stati filtrati. Lo stato consigliato per questa impostazione è: 'Operazione riuscita e errore'. Percorso chiave: {0CCE9215-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso/Disconnessione\Controlla accesso Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Esito positivo e negativo (Controllo) |
Critico |
Controllo di altri eventi di accesso/disconnessione (CCE-36322-6) |
Descrizione: questa sottocategoria segnala altri eventi correlati all'accesso/disconnessione, ad esempio la disconnessione e la riconnessione della sessione di Servizi terminal, l'uso di RunAs per eseguire processi con un account diverso e bloccare e sbloccare una workstation. Gli eventi per questa sottocategoria includono: - 4649: È stato rilevato un attacco di riproduzione. — 4778: una sessione è stata riconnessa a una stazione finestra. — 4779: una sessione è stata disconnessa da una stazione finestra. — 4800: La workstation era bloccata. — 4801: La workstation è stata sbloccata. — 4802: Lo screen saver è stato richiamato. — 4803: Lo screen saver è stato ignorato. — 5378: la delega delle credenziali richieste non è consentita dai criteri. — 5632: È stata effettuata una richiesta di autenticazione a una rete wireless. — 5633: È stata effettuata una richiesta di autenticazione a una rete cablata. Fare riferimento all'articolo della Microsoft Knowledge Base "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE921C-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso/Disconnessione\Controlla altri eventi di accesso/disconnessione Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.5.5 |
= Esito positivo e negativo (Controllo) |
Critico |
Controllo dell’accesso speciale (CCE-36266-5) |
Descrizione: questa sottocategoria segnala quando viene usato un accesso speciale. Un accesso speciale è un accesso con privilegi equivalenti all'amministratore e può essere usato per elevare un processo a un livello superiore. Gli eventi per questa sottocategoria includono: - 4964 : i gruppi speciali sono stati assegnati a un nuovo accesso. Lo stato consigliato per questa impostazione è: Success .Percorso chiave: {0CCE921B-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso/Disconnessione\Controlla accesso speciale Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Operazione riuscita (Controllo) |
Critico |
Criteri di controllo del sistema - Accesso a oggetti
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo della condivisione file dettagliata (AZ-WIN-00100) |
Descrizione: questa sottocategoria consente di controllare i tentativi di accesso a file e cartelle in una cartella condivisa. Gli eventi per questa sottocategoria includono: - 5145: l'oggetto condivisione di rete è stato controllato per verificare se al client può essere concesso l'accesso desiderato. Lo stato consigliato per questa impostazione consiste nell'includere: Failure Percorso chiave: {0CCE9244-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso oggetti\Controlla condivisione file dettagliata Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Errore (Controllo) |
Critico |
Controllo della condivisione file (AZ-WIN-00102) |
Descrizione: questa impostazione di criterio consente di controllare i tentativi di accesso a una cartella condivisa. Lo stato consigliato per questa impostazione è: Success and Failure . Nota: non sono presenti elenchi di controllo di accesso di sistema (SACLs) per le cartelle condivise. Se questa impostazione di criterio è abilitata, viene controllato l'accesso a tutte le cartelle condivise nel sistema.Percorso chiave: {0CCE9224-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso oggetti\Controlla condivisione file Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Esito positivo e negativo (Controllo) |
Critico |
Controllo di altri eventi di accesso a oggetti (AZ-WIN-00113) |
Descrizione: questa sottocategoria segnala altri eventi correlati all'accesso agli oggetti, ad esempio processi dell'Utilità di pianificazione e oggetti COM+. Gli eventi per questa sottocategoria includono: - 4671: un'applicazione ha tentato di accedere a un ordinale bloccato tramite TBS. — 4691: è stato richiesto l'accesso indiretto a un oggetto. — 4698: è stata creata un'attività pianificata. — 4699: un'attività pianificata è stata eliminata. — 4700: è stata abilitata un'attività pianificata. — 4701: un'attività pianificata è stata disabilitata. — 4702: un'attività pianificata è stata aggiornata. — 5888: è stato modificato un oggetto nel catalogo COM+. — 5889: Un oggetto è stato eliminato dal catalogo COM+. — 5890: Un oggetto è stato aggiunto al catalogo COM+. Fare riferimento all'articolo della Microsoft Knowledge Base "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9227-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.6.3 |
= Esito positivo e negativo (Controllo) |
Critico |
Controllo di archivi rimovibili (CCE-37617-8) |
Descrizione: questa impostazione di criterio consente di controllare i tentativi dell'utente di accedere agli oggetti del file system in un dispositivo di archiviazione rimovibile. Viene generato un evento di controllo di sicurezza solo per tutti gli oggetti per tutti i tipi di accesso richiesti. Se si configura questa impostazione di criterio, viene generato un evento di controllo ogni volta che un account accede a un oggetto file system in una risorsa di archiviazione rimovibile. I controlli con esito positivo registrano tentativi riusciti e I controlli non riusciti registrano tentativi non riusciti. Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando un account accede a un oggetto file system in un archivio rimovibile. Lo stato consigliato per questa impostazione è: Success and Failure . Nota: è necessario un sistema operativo Windows 8, Server 2012 (non R2) o versione successiva per accedere e impostare questo valore in Criteri di gruppo.Percorso chiave: {0CCE9245-69AE-11D9-BED3-505054503030} Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Accesso oggetti\Controlla archiviazione rimovibile Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Esito positivo e negativo (Controllo) |
Critico |
Criteri di controllo del sistema - Modifica dei criteri
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo della modifica ai criteri di autenticazione (CCE-38327-3) |
Descrizione: questa sottocategoria segnala le modifiche apportate ai criteri di autenticazione. Gli eventi per questa sottocategoria includono: - 4706: è stata creata una nuova relazione di trust in un dominio. — 4707: Un trust a un dominio è stato rimosso. — 4713: i criteri Kerberos sono stati modificati. — 4716: le informazioni sul dominio attendibili sono state modificate. — 4717: l'accesso alla sicurezza del sistema è stato concesso a un account. — 4718: l'accesso alla sicurezza del sistema è stato rimosso da un account. — 4739: i criteri di dominio sono stati modificati. — 4864: è stata rilevata una collisione dello spazio dei nomi. — 4865: è stata aggiunta una voce di informazioni sulla foresta attendibile. — 4866: è stata rimossa una voce di informazioni sulla foresta attendibile. — 4867: è stata modificata una voce di informazioni sulla foresta attendibile. Fare riferimento all'articolo della Microsoft Knowledge Base "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9230-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Modifica criteri\Controlla modifica criteri di autenticazione Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.7.2 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo della modifica ai criteri di autorizzazione (CCE-36320-0) |
Descrizione: questa sottocategoria segnala le modifiche apportate ai criteri di autorizzazione. Gli eventi per questa sottocategoria includono: - 4704: è stato assegnato un diritto utente. - 4705: Un diritto utente è stato rimosso. - 4706: è stato creato un nuovo trust in un dominio. - 4707: È stato rimosso un trust a un dominio. - 4714: I criteri di ripristino dei dati crittografati sono stati modificati. Lo stato consigliato per questa impostazione consiste nell'includere: Success .Percorso chiave: {0CCE9231-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Modifica criteri di controllo\Modifica criteri di autorizzazione controllo Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo della modifica ai criteri a livello di regola di MPSSVC (AZ-WIN-00111) |
Descrizione: questa sottocategoria segnala le modifiche apportate alle regole dei criteri usate dal Servizio di protezione Microsoft (MPSSVC.exe). Questo servizio viene usato da Windows Firewall e da Microsoft OneCare. Gli eventi per questa sottocategoria includono: — 4944: i criteri seguenti erano attivi all'avvio di Windows Firewall. — 4945: Una regola è stata elencata all'avvio di Windows Firewall. — 4946: È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata aggiunta una regola. — 4947: È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata modificata una regola. — 4948: È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata eliminata una regola. — 4949: le impostazioni di Windows Firewall sono state ripristinate nei valori predefiniti. — 4950: è stata modificata un'impostazione di Windows Firewall. — 4951: Una regola è stata ignorata perché il numero di versione principale non è stato riconosciuto da Windows Firewall. — 4952: le parti di una regola sono state ignorate perché il numero di versione secondaria non è stato riconosciuto da Windows Firewall. Le altre parti della regola verranno applicate. — 4953: una regola è stata ignorata da Windows Firewall perché non è stata in grado di analizzare la regola. — 4954: Le impostazioni di Criteri di gruppo di Windows Firewall sono state modificate. Sono state applicate le nuove impostazioni. — 4956: Windows Firewall ha modificato il profilo attivo. — 4957: Windows Firewall non ha applicato la regola seguente: — 4958: Windows Firewall non ha applicato la regola seguente perché la regola a cui fa riferimento gli elementi non configurati nel computer: fare riferimento all'articolo della Microsoft KnowledgeBase "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per le informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9232-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Modifica criteri\Controlla modifica a livello di regola MPSSVC Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.7.4 |
= Esito positivo e negativo (Controllo) |
Critico |
Controlla Altri eventi di modifica criteri (AZ-WIN-00114) |
Descrizione: questa sottocategoria contiene eventi sulle modifiche dei criteri dell'agente di recupero dati EFS, modifiche nel filtro della piattaforma di filtro di Windows, stato negli aggiornamenti delle impostazioni dei criteri di sicurezza per le impostazioni di Criteri di gruppo locali, modifiche ai criteri di accesso centrale e eventi di risoluzione dei problemi dettagliati per le operazioni CNG (Cryptographic Next Generation). - 5063: è stata tentata un'operazione del provider di crittografia. - 5064: è stata tentata un'operazione di contesto crittografico. - 5065: è stata tentata una modifica del contesto crittografico. - 5066: è stata tentata un'operazione di funzione crittografica. - 5067: è stata tentata una modifica della funzione crittografica. - 5068: è stata tentata un'operazione del provider di funzioni di crittografia. - 5069: è stata tentata un'operazione di proprietà della funzione di crittografia. - 5070: è stata tentata una modifica della proprietà della funzione di crittografia. - 6145: si sono verificati uno o più errori durante l'elaborazione dei criteri di sicurezza negli oggetti Criteri di gruppo. Lo stato consigliato per questa impostazione consiste nell'includere: Failure .Percorso chiave: {0CCE9234-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Modifica criteri\Controlla altri eventi di modifica dei criteri Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Errore (Controllo) |
Critico |
Modifica ai criteri di controllo (CCE-38028-7) |
Descrizione: questa sottocategoria segnala le modifiche apportate ai criteri di controllo, incluse le modifiche SACL. Gli eventi per questa sottocategoria includono: - 4715: il criterio di controllo (SACL) in un oggetto è stato modificato. — 4719: i criteri di controllo del sistema sono stati modificati. — 4902: è stata creata la tabella dei criteri di controllo per utente. — 4904: Tentativo di registrare un'origine evento di sicurezza. — 4905: Tentativo di annullare la registrazione di un'origine evento di sicurezza. — 4906: Il valore CrashOnAuditFail è cambiato. — 4907: Le impostazioni di controllo sull'oggetto sono state modificate. — 4908: tabella di accesso gruppi speciali modificata. — 4912: i criteri di controllo utente sono stati modificati. Fare riferimento all'articolo della Microsoft Knowledge Base "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE922F-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Modifica criteri di controllo\Controlla modifica criteri Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.7.1 |
>= Operazione riuscita (Controllo) |
Critico |
Criteri di controllo del sistema - Uso dei privilegi
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo dell’uso dei privilegi sensibili (CCE-36267-3) |
Descrizione: questa sottocategoria segnala quando un account utente o un servizio usa un privilegio sensibile. Un privilegio sensibile include i diritti utente seguenti: agire come parte del sistema operativo, File di backup e directory, Creare un oggetto token, Programmi di debug, Abilitare l'attendibilità degli account utente e del computer per la delega, Generare controlli di sicurezza, Rappresentare un client dopo l'autenticazione, Caricare e scaricare i driver di dispositivo, Gestire il controllo e il log di sicurezza, Modificare i valori dell'ambiente firmware, Sostituire un token a livello di processo, ripristinare file e directory e acquisire la proprietà di file o altri oggetti. Il controllo di questa sottocategoria creerà un volume elevato di eventi. Gli eventi per questa sottocategoria includono: — 4672: privilegi speciali assegnati al nuovo accesso. — 4673: è stato chiamato un servizio con privilegi. — 4674: Un'operazione è stata tentata su un oggetto con privilegi. Fare riferimento all'articolo della Microsoft KnowledgeBase "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9228-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Success and Failure :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata dei criteri di controllo\Criteri di controllo\Uso privilegi\Usa privilegi riservati Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.8.1 |
= Esito positivo e negativo (Controllo) |
Critico |
Criteri di controllo del sistema - Sistema
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Controllo del driver IPsec (CCE-37853-9) |
Descrizione: questa sottocategoria segnala le attività del driver IPsec (Internet Protocol Security). Gli eventi per questa sottocategoria includono: - 4960: IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di integrità. Se questo problema persiste, potrebbe indicare un problema di rete o che i pacchetti vengono modificati in transito nel computer. Verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni IPsec. - 4961: IPsec ha eliminato un pacchetto in ingresso che non è riuscito a eseguire un controllo di riproduzione. Se il problema persiste, potrebbe indicare un attacco di tipo replay contro questo computer. - 4962: IPsec ha eliminato un pacchetto in ingresso che non è riuscito a eseguire un controllo di riproduzione. Il pacchetto in ingresso aveva un numero di sequenza troppo basso per garantire che non fosse una riproduzione. - 4963: IPsec ha eliminato un pacchetto di testo non crittografato in ingresso che dovrebbe essere stato protetto. Questo in genere è dovuto alla modifica del criterio IPsec da parte del computer remoto senza informare questo computer. Potrebbe anche trattarsi di un tentativo di attacco di spoofing. - 4965: IPsec ha ricevuto un pacchetto da un computer remoto con un indice dei parametri di sicurezza (SPI) non corretto. Questo è in genere causato da un malfunzionamento hardware che danneggia i pacchetti. Se questi errori persistono, verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore può anche indicare problemi di interoperabilità con altre implementazioni IPsec. In questo caso, se la connettività non è impedita, questi eventi possono essere ignorati. - 5478: IPsec Services è stato avviato correttamente. - 5479: IPsec Services è stato arrestato correttamente. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza. - 5480: IPsec Services non è riuscito a ottenere l'elenco completo delle interfacce di rete nel computer. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di sicurezza IP per diagnosticare il problema. - 5483: IPsec Services non è riuscito a inizializzare il server RPC. Avvio dei servizi IPsec non riuscito. - 5484: IPsec Services ha riscontrato un errore critico ed è stato arrestato. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza. - 5485: IPsec Services non è riuscito a elaborare alcuni filtri IPsec in un evento plug-and-play per le interfacce di rete. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di sicurezza IP per diagnosticare il problema. Lo stato consigliato per questa impostazione è: Success and Failure .Percorso chiave: {0CCE9213-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Sistema\Controlla driver IPsec Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= Esito positivo e negativo (Controllo) |
Critico |
Controllo di altri eventi di sistema (CCE-38030-3) |
Descrizione: questa sottocategoria segnala altri eventi di sistema. Gli eventi per questa sottocategoria includono: - 5024 : Il servizio Windows Firewall è stato avviato correttamente. - 5025: il servizio Windows Firewall è stato arrestato. - 5027 : il servizio Windows Firewall non è riuscito a recuperare i criteri di sicurezza dalla risorsa di archiviazione locale. Il servizio continuerà ad applicare i criteri correnti. - 5028: il servizio Windows Firewall non è riuscito ad analizzare i nuovi criteri di sicurezza. Il servizio continuerà con i criteri applicati correnti. - 5029: Il servizio Windows Firewall non è riuscito a inizializzare il driver. Il servizio continuerà ad applicare i criteri correnti. - 5030: Impossibile avviare il servizio Windows Firewall. - 5032: Windows Firewall non è riuscito a notificare all'utente che ha impedito a un'applicazione di accettare connessioni in ingresso nella rete. - 5033 : Il driver di Windows Firewall è stato avviato correttamente. - 5034: il driver di Windows Firewall è stato arrestato. - 5035: l'avvio del driver di Windows Firewall non è riuscito. - 5037 : Il driver di Windows Firewall ha rilevato un errore di runtime critico. Arresto in corso. - 5058: Operazione file chiave. - 5059: Operazione di migrazione chiave. Lo stato consigliato per questa impostazione è: Success and Failure .Percorso chiave: {0CCE9214-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Sistema\Controlla altri eventi di sistema Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Esito positivo e negativo (Controllo) |
Critico |
Controllo della modifica allo stato di sicurezza (CCE-38114-5) |
Descrizione: questa sottocategoria segnala le modifiche apportate allo stato di sicurezza del sistema, ad esempio all'avvio e all'arresto del sottosistema di sicurezza. Gli eventi per questa sottocategoria includono: - 4608: Windows è in avvio. — 4609: Windows sta arrestando. — 4616: L'ora di sistema è stata modificata. — 4621: l'amministratore ha recuperato il sistema da CrashOnAuditFail. Gli utenti non amministratori ora potranno accedere. Alcune attività controllabili potrebbero non essere state registrate. Fare riferimento all'articolo della Microsoft KnowledgeBase "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9210-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Sistema\Controlla modifica stato sicurezza Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.9.3 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo dell’estensione del sistema di sicurezza (CCE-36144-4) |
Descrizione: questa sottocategoria segnala il caricamento del codice di estensione, ad esempio i pacchetti di autenticazione dal sottosistema di sicurezza. Gli eventi per questa sottocategoria includono: - 4610: un pacchetto di autenticazione è stato caricato dall'autorità di sicurezza locale. — 4611: un processo di accesso attendibile è stato registrato con l'Autorità di sicurezza locale. — 4614: un pacchetto di notifica è stato caricato da Security Account Manager. — 4622: un pacchetto di sicurezza è stato caricato dall'Autorità di sicurezza locale. — 4697: un servizio è stato installato nel sistema. Fare riferimento all'articolo della Microsoft Knowledge Base "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9211-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Success :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Sistema\Controlla estensione sistema di sicurezza Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.9.4 |
>= Operazione riuscita (Controllo) |
Critico |
Controllo dell’integrità del sistema (CCE-37132-8) |
Descrizione: questa sottocategoria segnala violazioni dell'integrità del sottosistema di sicurezza. Gli eventi per questa sottocategoria includono: - 4612: le risorse interne allocate per l'accodamento dei messaggi di controllo sono state esaurite, causando la perdita di alcuni controlli. — 4615: uso non valido della porta LPC. — 4618: si è verificato un modello di evento di sicurezza monitorato. — 4816 : RPC ha rilevato una violazione di integrità durante la decrittografia di un messaggio in arrivo. — 5038: l'integrità del codice ha determinato che l'hash dell'immagine di un file non è valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore del dispositivo del disco. — 5056: è stato eseguito un auto-test crittografico. — 5057: operazione primitiva crittografica non riuscita. — 5060: Operazione di verifica non riuscita. — 5061: Operazione crittografica. — 5062: è stato eseguito un auto-test crittografico in modalità kernel. Fare riferimento all'articolo della Microsoft KnowledgeBase "Descrizione degli eventi di sicurezza in Windows Vista e in Windows Server 2008" per informazioni più recenti su questa impostazione: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Percorso chiave: {0CCE9212-69AE-11D9-BED3-505054503030} Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su "Operazione riuscita e errore:" Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione avanzata criteri di controllo\Criteri di controllo\Sistema\Controlla integrità sistema Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 17.9.5 |
= Esito positivo e negativo (Controllo) |
Critico |
Assegnazione diritti utente
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Accesso a Gestione credenziali come chiamante trusted (CCE-37056-9) |
Descrizione: questa impostazione di sicurezza viene usata da Gestione credenziali durante il backup e il ripristino. Nessun account deve avere il diritto di questo utente, perché è assegnato solo a Winlogon. Le credenziali salvate degli utenti potrebbero essere compromesse se questo diritto utente viene assegnato ad altre entità. Lo stato consigliato per questa impostazione è: No One .Percorso chiave: [Rights Privilege]SeTrustedCredManAccessPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No One :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Access Credential Manager come chiamante attendibile Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= Nessuno (Criterio) |
Avviso |
Accedi al computer dalla rete (CCE-35818-4) |
Descrizione: Questa impostazione di criterio consente ad altri utenti della rete di connettersi al computer ed è richiesta da vari protocolli di rete che includono protocolli basati su SMB (Server Message Block), NetBIOS, Common Internet File System (CIFS) e Component Object Model Plus (COM+). - Livello 1 - Controller di dominio. Lo stato consigliato per questa impostazione è: 'Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS'. - Livello 1 - Server membro. Lo stato consigliato per questa impostazione è: "Amministratori, Utenti autenticati". Percorso chiave: [Rights Rights]SeNetworkLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Accesso al computer dalla rete Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Amministratori, Utenti autenticati (Criterio) |
Critico |
Agire come parte del sistema operativo (CCE-36876-1) |
Descrizione: questa impostazione di criterio consente a un processo di presupporre l'identità di qualsiasi utente e quindi ottenere l'accesso alle risorse a cui l'utente è autorizzato ad accedere. Lo stato consigliato per questa impostazione è: No One .Percorso chiave: [Diritti privilegio]SeTcbPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No One :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Agire come parte del sistema operativo Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= Nessuno (Criterio) |
Critico |
Consenti accesso locale (CCE-37659-0) |
Descrizione: questa impostazione dei criteri determina quali utenti possono accedere in modo interattivo ai computer nell'ambiente in uso. Gli accessi avviati premendo la sequenza di tasti CTRL+ALT+CANC nella tastiera del computer client richiedono il diritto dell'utente. Gli utenti che tentano di accedere tramite Servizi terminal o IIS richiedono anche questo diritto utente. All'account guest viene assegnato questo diritto utente per impostazione predefinita. Anche se questo account è disabilitato per impostazione predefinita, Microsoft consiglia di abilitare questa impostazione tramite Criteri di gruppo. Tuttavia, questo diritto utente deve in genere essere limitato ai gruppi Administrators e Users. Assegnare questo diritto utente al gruppo Backup Operators se l'organizzazione richiede che disponga di questa funzionalità. Quando si configura un utente direttamente in Gestione controllo servizi, immettere un elenco delimitato da virgole di account. Gli account possono essere locali o situati in Active Directory, possono essere gruppi, utenti o computer. Percorso chiave: [Rights privilege]SeInteractiveLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Consenti accesso locale Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.7 |
= Amministratori (Criterio) |
Critico |
Consenti accesso tramite Servizi Desktop remoto (CCE-37072-6) |
Descrizione: Questa impostazione di criterio determina quali utenti o gruppi hanno il diritto di accedere come client di Servizi terminal. Gli utenti desktop remoto richiedono questo diritto utente. Se l'organizzazione usa Assistenza remota come parte della strategia dell'help desk, creare un gruppo e assegnarlo direttamente tramite Criteri di gruppo. Se l'help desk dell'organizzazione non usa Assistenza remota, assegnare questo diritto utente solo al gruppo Administrators o usare la funzionalità gruppi con restrizioni per assicurarsi che nessun account utente faccia parte del gruppo Utenti Desktop remoto. Limitare questo diritto utente al gruppo Administrators e possibilmente al gruppo Utenti Desktop remoto per impedire agli utenti indesiderati di accedere ai computer della rete tramite la funzionalità Assistenza remota. - Livello 1 - Controller di dominio. Lo stato consigliato per questa impostazione è: 'Administrators'. - Livello 1 - Server membro. Lo stato consigliato per questa impostazione è: "Amministratori, Utenti Desktop remoto". Nota: un server membro che contiene il ruolo Servizi Desktop remoto con il servizio ruolo Gestore connessione Desktop remoto richiederà un'eccezione speciale a questa raccomandazione, per consentire al gruppo "Utenti autenticati" di concedere questo diritto utente. Nota 2: gli elenchi precedenti devono essere considerati come elenchi consentiti, il che implica che le entità precedenti non devono essere presenti per la valutazione di questa raccomandazione da superare. Percorso chiave: [Rights Privilege]SeRemoteInteractiveLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Consenti accesso tramite Servizi Desktop remoto Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Amministratori, Utenti desktop remoto (Criterio) |
Critico |
Backup di file e directory (CCE-35912-5) |
Descrizione: questa impostazione di criterio consente agli utenti di aggirare le autorizzazioni di file e directory per il backup del sistema. Questo diritto utente è abilitato solo quando un'applicazione (ad esempio NTBACKUP) tenta di accedere a un file o a una directory tramite l'API (Application Programming Interface) di backup del file system NTFS. In caso contrario, si applicano le autorizzazioni di file e directory assegnate. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Diritti privilegio]SeBackupPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators .Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Backup di file e directory Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Amministratori, Operatori di backup, Operatori server (Criterio) |
Critico |
Ignorare controllo incrociato (AZ-WIN-00184) |
Descrizione: questa impostazione di criterio consente agli utenti che non dispongono dell'autorizzazione di accesso Alla cartella di attraversamento per passare le cartelle quando esplorano un percorso oggetto nel file system NTFS o nel Registro di sistema. Questo diritto utente non consente agli utenti di elencare il contenuto di una cartella. Quando si configura un utente direttamente in Gestione controllo servizi, immettere un elenco delimitato da virgole di account. Gli account possono essere locali o situati in Active Directory, possono essere gruppi, utenti o computer. Percorso chiave: [Rights Rights]SeChangeNotifyPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: configurare il valore dei criteri per Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Ignora controllo attraversamento per includere solo gli account o i gruppi seguenti: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service Mapping standard di conformità: |
<= Amministratori, utenti autenticati, operatori di backup, servizio locale, servizio di rete (Criterio) |
Critico |
Modifica dell'orario di sistema (CCE-37452-0) |
Descrizione: questa impostazione di criterio determina quali utenti e gruppi possono modificare l'ora e la data nell'orologio interno dei computer nell'ambiente. Gli utenti a cui è assegnato questo diritto utente possono influire sull'aspetto dei registri eventi. Quando l'impostazione dell'ora di un computer viene modificata, gli eventi registrati riflettono la nuova ora, non l'ora effettiva in cui si sono verificati gli eventi. Quando si configura un utente direttamente in Gestione controllo servizi, immettere un elenco delimitato da virgole di account. Gli account possono essere locali o situati in Active Directory, possono essere gruppi, utenti o computer. Nota: le discrepanze tra l'ora nel computer locale e i controller di dominio nell'ambiente possono causare problemi per il protocollo di autenticazione Kerberos, che potrebbe rendere impossibile agli utenti accedere al dominio o ottenere l'autorizzazione per accedere alle risorse di dominio dopo l'accesso. Inoltre, si verificheranno problemi quando Criteri di gruppo viene applicato ai computer client se l'ora di sistema non è sincronizzata con i controller di dominio. Lo stato consigliato per questa impostazione è: Administrators, LOCAL SERVICE .Percorso chiave: [Rights Rights]SeSystemtimePrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators, LOCAL SERVICE :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Modificare l'ora di sistema Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Amministratori, Operatori server, SERVIZIO LOCALE (Criterio) |
Critico |
Modifica del fuso orario (CCE-37700-2) |
Descrizione: questa impostazione determina quali utenti possono modificare il fuso orario del computer. Questa capacità non tiene alcun grande pericolo per il computer e può essere utile per i lavoratori mobili. Lo stato consigliato per questa impostazione è: Administrators, LOCAL SERVICE .Percorso chiave: [Rights privilege]SeTimeZonePrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators, LOCAL SERVICE :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Modificare il fuso orario Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Amministratori, SERVIZIO LOCALE (Criterio) |
Critico |
Creazione di file di paging (CCE-35821-8) |
Descrizione: questa impostazione di criterio consente agli utenti di modificare le dimensioni del file di pagina. Rendendo il file di paging estremamente grande o estremamente piccolo, un utente malintenzionato potrebbe influire facilmente sulle prestazioni di un computer compromesso. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Diritti privilegio]SeCreatePagefilePrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Crea un file di pagina Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Amministratori (Criterio) |
Critico |
Creare un oggetto token (CCE-36861-3) |
Descrizione: questa impostazione di criterio consente a un processo di creare un token di accesso, che può fornire diritti elevati per accedere ai dati sensibili. Lo stato consigliato per questa impostazione è: No One .Percorso chiave: [Diritti privilegio]SeCreateTokenPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No One :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Crea un oggetto token Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= Nessuno (Criterio) |
Avviso |
Creazione oggetti globali (CCE-37453-8) |
Descrizione: questa impostazione di criterio determina se gli utenti possono creare oggetti globali disponibili per tutte le sessioni. Gli utenti possono comunque creare oggetti specifici della propria sessione se non hanno il diritto dell'utente. Gli utenti che possono creare oggetti globali possono influire sui processi eseguiti nelle sessioni di altri utenti. Questa funzionalità può causare diversi problemi, ad esempio errori dell'applicazione o danneggiamento dei dati. Lo stato consigliato per questa impostazione è: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE . Nota: un server membro con Microsoft SQL Server e il relativo componente facoltativo "Integration Services" installato richiederà un'eccezione speciale a questa raccomandazione per le voci aggiuntive generate da SQL a cui concedere questo diritto utente.Percorso chiave: [Diritti privilegio]SeCreateGlobalPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Crea oggetti globali Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Administrators, SERVICE, LOCAL SERVICE, NETWORK SERVICE (Criterio) |
Avviso |
Creare oggetti condivisi permanenti (CCE-36532-0) |
Descrizione: questo diritto utente è utile per i componenti in modalità kernel che estendono lo spazio dei nomi dell'oggetto. Tuttavia, i componenti eseguiti in modalità kernel hanno il diritto dell'utente in modo intrinseco. Di conseguenza, in genere non è necessario assegnare questo diritto utente in modo specifico. Lo stato consigliato per questa impostazione è: No One .Percorso chiave: [Rights privilege]SeCreatePermanentPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No One :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Crea oggetti condivisi permanenti Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= Nessuno (Criterio) |
Avviso |
Creazione di collegamenti simbolici (CCE-35823-4) |
Descrizione: Questa impostazione di criterio determina quali utenti possono creare collegamenti simbolici. In Windows Vista, è possibile accedere a oggetti file system NTFS esistenti, ad esempio file e cartelle, facendo riferimento a un nuovo tipo di oggetto file system denominato collegamento simbolico. Un collegamento simbolico è un puntatore (molto simile a un collegamento o .lnk file) a un altro oggetto file system, che può essere un file, una cartella, un collegamento o un altro collegamento simbolico. La differenza tra un collegamento e un collegamento simbolico è che un collegamento funziona solo dall'interno della shell di Windows. Per altri programmi e applicazioni, i collegamenti sono solo un altro file, mentre con collegamenti simbolici, il concetto di collegamento viene implementato come funzionalità del file system NTFS. I collegamenti simbolici possono potenzialmente esporre vulnerabilità di sicurezza nelle applicazioni che non sono progettate per usarle. Per questo motivo, il privilegio per la creazione di collegamenti simbolici deve essere assegnato solo agli utenti attendibili. Per impostazione predefinita, solo gli amministratori possono creare collegamenti simbolici. - Livello 1 - Controller di dominio. Lo stato consigliato per questa impostazione è: 'Administrators'. - Livello 1 - Server membro. Lo stato consigliato per questa impostazione è: "Administrators" e (quando è installato il ruolo Hyper-V) "NT VIRTUAL MACHINE\Macchine virtuali". Percorso chiave: [Rights Rights]SeCreateSymbolicLinkPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per implementare lo stato di configurazione consigliato, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Crea collegamenti simbolici Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Amministratori, NT VIRTUAL MACHINE\Macchine virtuali (Criterio) |
Critico |
Debug di programmi (AZ-WIN-73755) |
Descrizione: questa impostazione di criterio determina quali account utente avranno il diritto di collegare un debugger a qualsiasi processo o al kernel, che fornisce l'accesso completo ai componenti sensibili e critici del sistema operativo. Agli sviluppatori che eseguono il debug delle proprie applicazioni non è necessario assegnare questo diritto utente; Tuttavia, gli sviluppatori che eseguono il debug di nuovi componenti di sistema ne avranno bisogno. Lo stato consigliato per questa impostazione è: Administrators . Nota: questo diritto utente è considerato un "privilegio sensibile" ai fini del controllo.Percorso chiave: [Rights Rights]SeDebugPrivilege SISTEMA OPERATIVO: WS2016, WS2019 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Programmi di debug Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Amministratori (Criterio) |
Critico |
Negare l'accesso al computer dalla rete (CCE-37954-5) |
Descrizione: Questa impostazione di criterio impedisce agli utenti di connettersi a un computer da tutta la rete, consentendo agli utenti di accedere e potenzialmente modificare i dati in remoto. Negli ambienti con sicurezza elevata non è necessario che gli utenti remoti accersino ai dati in un computer. Al contrario, la condivisione file deve essere eseguita tramite l'uso di server di rete. - Livello 1 - Controller di dominio. Lo stato consigliato per questa impostazione consiste nell'includere: "Guest, Account locale". - Livello 1 - Server membro. Lo stato consigliato per questa impostazione consiste nell'includere: "Guest, Account locale e membro del gruppo Administrators". Attenzione: la configurazione di un server autonomo (non aggiunto a un dominio) come descritto in precedenza può comportare l'impossibilità di amministrare il server in remoto. Nota: la configurazione di un server membro o di un server autonomo come descritto in precedenza può influire negativamente sulle applicazioni che creano un account del servizio locale e lo inseriscono nel gruppo Administrators. In questo caso, è necessario convertire l'applicazione per usare un account del servizio ospitato nel dominio oppure rimuovere l'account locale e il membro del gruppo Administrators da questa assegnazione a destra utente. L'uso di un account del servizio ospitato in un dominio è fortemente preferibile rispetto all'esecuzione di un'eccezione a questa regola, laddove possibile. Percorso chiave: [Rights privilege]SeDenyNetworkLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Nega accesso al computer dalla rete Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= Guest (Criterio) |
Critico |
Negare l'accesso come processo batch (CCE-36923-1) |
Descrizione: questa impostazione di criterio determina quali account non potranno accedere al computer come processo batch. Un processo batch non è un file batch (.bat), ma piuttosto una funzionalità batch-queue. Gli account che usano l'Utilità di pianificazione per pianificare i processi necessitano del diritto dell'utente. Il diritto di accesso Nega come utente di processo batch sostituisce il diritto di accesso come utente di processo batch , che può essere usato per consentire agli account di pianificare processi che utilizzano risorse di sistema eccessive. Tale occorrenza potrebbe causare una condizione DoS. L'impossibilità di assegnare questo diritto utente agli account consigliati può essere un rischio per la sicurezza. Lo stato consigliato per questa impostazione consiste nell'includere: Guests .Percorso chiave: [Rights Rights]SeDenyBatchLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Guests :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Nega accesso come processo batch Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Guest (Criterio) |
Critico |
Negare l'accesso come servizio (CCE-36877-9) |
Descrizione: questa impostazione di sicurezza determina quali account di servizio non possono registrare un processo come servizio. Questa impostazione di criterio sostituisce l'impostazione dei criteri Accesso come servizio se un account è soggetto a entrambi i criteri. Lo stato consigliato per questa impostazione consiste nell'includere: Guests . Nota: questa impostazione di sicurezza non si applica agli account del sistema, del servizio locale o del servizio di rete.Percorso chiave: [Rights Rights]SeDenyServiceLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Guests :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Nega accesso come servizio Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Guest (Criterio) |
Critico |
Negare l'accesso locale (CCE-37146-8) |
Descrizione: questa impostazione di sicurezza determina quali utenti non possono accedere nel computer. Questa impostazione di criterio sostituisce l'impostazione dei criteri Consenti accesso locale se un account è soggetto a entrambi i criteri. Importante: se si applica questo criterio di sicurezza al gruppo Everyone, nessuno potrà accedere in locale. Lo stato consigliato per questa impostazione consiste nell'includere: Guests .Percorso chiave: [Rights privilege]SeDenyInteractiveLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente per includere Guests :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Nega accesso locale Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= Guest (Criterio) |
Critico |
Nega accesso tramite Servizi Desktop remoto (CCE-36867-0) |
Descrizione: questa impostazione di criterio determina se gli utenti possono accedere come client di Servizi terminal. Dopo che il server membro di base è stato aggiunto a un ambiente di dominio, non è necessario usare gli account locali per accedere al server dalla rete. Gli account di dominio possono accedere al server per l'amministrazione e l'elaborazione degli utenti finali. Lo stato consigliato per questa impostazione consiste nell'includere: Guests, Local account . Attenzione: la configurazione di un server autonomo (non aggiunto a un dominio) come descritto in precedenza può comportare l'impossibilità di amministrare il server in remoto.Percorso chiave: [Rights Rights]SeDenyRemoteInteractiveLogonRight Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Nega accesso tramite Servizi Desktop remoto Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.26 |
>= Guest (Criterio) |
Critico |
Impostazione account computer ed utente a tipo trusted per la delega (CCE-36860-5) |
Descrizione: Questa impostazione di criterio consente agli utenti di modificare l'impostazione Trusted for Delegation in un oggetto computer in Active Directory. L'abuso di questo privilegio potrebbe consentire agli utenti non autorizzati di rappresentare altri utenti nella rete. - Livello 1 - Controller di dominio. Lo stato consigliato per questa impostazione è: 'Administrators' - Livello 1 - Server membro. Lo stato consigliato per questa impostazione è : 'Nessuno'. Percorso chiave: [Rights Rights]SeEnableDelegationPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Abilita account computer e utente da considerare attendibili per la delega Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= Nessuno (Criterio) |
Critico |
Arresto forzato da un sistema remoto (CCE-37877-8) |
Descrizione: questa impostazione di criterio consente agli utenti di arrestare i computer basati su Windows Vista da posizioni remote nella rete. Chiunque sia stato assegnato a questo diritto utente può causare una condizione Denial of Service (DoS), che renderebbe il computer non disponibile per le richieste dell'utente del servizio. È pertanto consigliabile assegnare questo diritto utente solo agli amministratori altamente attendibili. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Rights]SeRemoteShutdownPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Forza arresto da un sistema remoto Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Amministratori (Criterio) |
Critico |
Generare controlli di sicurezza (CCE-37639-2) |
Descrizione: questa impostazione di criterio determina quali utenti o processi possono generare record di controllo nel log di sicurezza. Lo stato consigliato per questa impostazione è: LOCAL SERVICE, NETWORK SERVICE . Nota: un server membro che contiene il ruolo server Web (IIS) con il servizio ruolo server Web richiederà un'eccezione speciale a questa raccomandazione, per consentire ai pool di applicazioni IIS di concedere questo diritto utente. Nota 2: Un server membro che contiene il ruolo Active Directory Federation Services richiederà un'eccezione speciale a questa raccomandazione, per consentire ai NT SERVICE\ADFSSrv servizi eNT SERVICE\DRS , oltre all'account del servizio Active Directory Federation Services associato, di concedere questo diritto utente.Percorso chiave: [Rights Rights]SeAuditPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su LOCAL SERVICE, NETWORK SERVICE :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Genera controlli di sicurezza Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= Servizio locale, Servizio di rete, IIS APPPOOL\DefaultAppPool (Criterio) |
Critico |
Aumento di un working set di processo (AZ-WIN-00185) |
Descrizione: questo privilegio determina quali account utente possono aumentare o diminuire le dimensioni del working set di un processo. Il working set di un processo è il set di pagine di memoria attualmente visibili al processo nella memoria RAM fisica. Queste pagine sono residenti e disponibili per un'applicazione da usare senza attivare un errore di pagina. Le dimensioni minime e massime del set di lavoro influiscono sul comportamento di paging della memoria virtuale di un processo. Quando si configura un utente direttamente in Gestione controllo servizi, immettere un elenco delimitato da virgole di account. Gli account possono essere locali o situati in Active Directory, possono essere gruppi, utenti o computer. Percorso chiave: [Rights Rights]SeIncreaseWorkingSetPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Aumentare un working set di processi Mapping standard di conformità: |
<= Amministratori, Servizio locale (Criterio) |
Avviso |
Aumento della priorità di pianificazione (CCE-38326-5) |
Descrizione: questa impostazione di criteri determina se gli utenti possono aumentare la classe di priorità di base di un processo. Non è un'operazione con privilegi per aumentare la priorità relativa all'interno di una classe di priorità. Questo diritto utente non è richiesto dagli strumenti di amministrazione forniti con il sistema operativo, ma potrebbe essere richiesto dagli strumenti di sviluppo software. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Rights]SeIncreaseBasePriorityPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators, Window Manager\Window Manager Group :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Aumentare la priorità di pianificazione Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Amministratori (Criterio) |
Avviso |
Caricamento/rimozione di driver di dispositivo (CCE-36318-4) |
Descrizione: questa impostazione di criterio consente agli utenti di caricare dinamicamente un nuovo driver di dispositivo in un sistema. Un utente malintenzionato potrebbe usare questa funzionalità per installare codice dannoso che sembra essere un driver di dispositivo. Questo diritto utente è necessario per consentire agli utenti di aggiungere stampanti locali o driver di stampante in Windows Vista. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights privilege]SeLoadDriverPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Carica e scarica driver di dispositivo Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Amministratori, Operatori di stampa (Criterio) |
Avviso |
Blocco di pagine in memoria (CCE-36495-0) |
Descrizione: questa impostazione di criterio consente a un processo di mantenere i dati nella memoria fisica, impedendo al sistema di eseguire il paging dei dati nella memoria virtuale su disco. Se questo diritto utente viene assegnato, può verificarsi una riduzione significativa delle prestazioni del sistema. Lo stato consigliato per questa impostazione è: No One .Percorso chiave: [Rights privilege]SeLockMemoryPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No One :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Blocca pagine in memoria Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= Nessuno (Criterio) |
Avviso |
Gestione file registro di controllo e di sicurezza (CCE-35906-7) |
Descrizione: Questa impostazione di criterio determina quali utenti possono modificare le opzioni di controllo per file e directory e cancellare il log di sicurezza. Per gli ambienti che eseguono Microsoft Exchange Server, il gruppo "Exchange Servers" deve disporre di questo privilegio per il corretto funzionamento dei controller di dominio. Dato questo, i controller di dominio che concedono il gruppo "Exchange Servers" questo privilegio sono conformi a questo benchmark. Se l'ambiente non usa Microsoft Exchange Server, questo privilegio deve essere limitato solo a "Administrators" nei controller di dominio. - Livello 1 - Controller di dominio. Lo stato consigliato per questa impostazione è: 'Amministratori e (quando Exchange è in esecuzione nell'ambiente) 'Exchange Servers'. - Livello 1 - Server membro. Lo stato consigliato per questa impostazione è: 'Administrators' Percorso chiave: [Diritti privilegio]SeSecurityPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, configurare il percorso dell'interfaccia utente seguente: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Gestione controllo e log di sicurezza Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Amministratori (Criterio) |
Critico |
Modifica delle etichette di oggetti (CCE-36054-5) |
Descrizione: questo privilegio determina quali account utente possono modificare l'etichetta di integrità di oggetti, ad esempio file, chiavi del Registro di sistema o processi di proprietà di altri utenti. I processi in esecuzione con un account utente possono modificare l'etichetta di un oggetto di proprietà di tale utente a un livello inferiore senza questo privilegio. Lo stato consigliato per questa impostazione è: No One .Percorso chiave: [Rights Rights]SeRelabelPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su No One :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Modifica etichetta oggetto Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= Nessuno (Criterio) |
Avviso |
Modifica dei valori di ambiente firmware (CCE-38113-7) |
Descrizione: questa impostazione di criteri consente agli utenti di configurare le variabili di ambiente a livello di sistema che influiscono sulla configurazione hardware. Queste informazioni vengono in genere archiviate nell'ultima configurazione valida nota. La modifica di questi valori e potrebbe causare un errore hardware che provocherebbe una condizione Denial of Service. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Rights]SeSystemEnvironmentPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Modifica valori dell'ambiente firmware Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Amministratori (Criterio) |
Avviso |
Esecuzione attività di manutenzione volume (CCE-36143-6) |
Descrizione: questa impostazione di criteri consente agli utenti di gestire la configurazione del volume o del disco del sistema, che potrebbe consentire a un utente di eliminare un volume e causare la perdita di dati, nonché una condizione Denial of Service. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Privilege]SeManageVolumePrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Eseguire attività di manutenzione del volume Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Amministratori (Criterio) |
Avviso |
Creare il profilo del singolo processo (CCE-37131-0) |
Descrizione: questa impostazione di criterio determina quali utenti possono usare gli strumenti per monitorare le prestazioni dei processi non di sistema. In genere, non è necessario configurare questo diritto utente per usare lo snap-in Prestazioni di Microsoft Management Console (MMC). Tuttavia, è necessario che questo utente sia corretto se Monitoraggio di sistema è configurato per raccogliere dati usando Strumentazione gestione Windows (WMI). La limitazione del diritto utente profilo singolo processo impedisce agli intrusi di ottenere informazioni aggiuntive che potrebbero essere usate per montare un attacco sul sistema. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Rights]SeProfileSingleProcessPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Processo singolo profilo Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Amministratori (Criterio) |
Avviso |
Creare il profilo delle prestazioni del sistema (CCE-36052-9) |
Descrizione: questa impostazione di criteri consente agli utenti di usare strumenti per visualizzare le prestazioni dei diversi processi di sistema, che potrebbero essere usati in modo improprio per consentire agli utenti malintenzionati di determinare i processi attivi di un sistema e fornire informazioni dettagliate sulla potenziale superficie di attacco del computer. Lo stato consigliato per questa impostazione è: Administrators, NT SERVICE\WdiServiceHost .Percorso chiave: [Rights Rights]SeSystemProfilePrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators, NT SERVICE\WdiServiceHost :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Prestazioni del sistema profilo Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administrators, NT SERVICE\WdiServiceHost (Criterio) |
Avviso |
Sostituire un token a livello di processo (CCE-37430-6) |
Descrizione: questa impostazione di criteri consente a un processo o a un servizio di avviare un altro servizio o processo con un token di accesso alla sicurezza diverso, che può essere usato per modificare il token di accesso alla sicurezza di tale sottoprocesso e comportare l'escalation dei privilegi. Lo stato consigliato per questa impostazione è: LOCAL SERVICE, NETWORK SERVICE . Nota: un server membro che contiene il ruolo server Web (IIS) con il servizio ruolo server Web richiederà un'eccezione speciale a questa raccomandazione, per consentire ai pool di applicazioni IIS di concedere questo diritto utente. Nota n. 2: un server membro con Microsoft SQL Server installato richiederà un'eccezione speciale a questa raccomandazione per le voci aggiuntive generate da SQL a cui concedere il diritto utente.Percorso chiave: [Diritti privilegio]SeAssignPrimaryTokenPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su LOCAL SERVICE, NETWORK SERVICE :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Sostituisci un token a livello di processo Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= SERVIZIO LOCALE, SERVIZIO DI RETE (Criterio) |
Avviso |
Ripristino di file e directory (CCE-37613-7) |
Descrizione: questa impostazione di criterio determina quali utenti possono ignorare le autorizzazioni di file, directory, registro e altri oggetti persistenti durante il ripristino di file e directory di cui è stato eseguito il backup nei computer che eseguono Windows Vista nell'ambiente. Questo diritto utente determina anche quali utenti possono impostare entità di sicurezza valide come proprietari di oggetti; è simile al diritto utente File di backup e directory. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Rights]SeRestorePrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Ripristina file e directory Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.45 |
<= Amministratori, Operatori di backup (Criterio) |
Avviso |
Arresto del sistema (CCE-38328-1) |
Descrizione: questa impostazione di criterio determina gli utenti connessi localmente ai computer nell'ambiente in uso possono arrestare il sistema operativo con il comando Arresta. L'uso improprio di questo diritto utente può comportare una condizione Denial of Service. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Rights Rights]SeShutdownPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Arresta il sistema Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Amministratori, Operatori di backup (Criterio) |
Avviso |
Acquisire la proprietà di file o di altri oggetti (CCE-38325-7) |
Descrizione: questa impostazione di criterio consente agli utenti di acquisire la proprietà di file, cartelle, chiavi del Registro di sistema, processi o thread. Questo diritto utente ignora tutte le autorizzazioni applicate per proteggere gli oggetti per assegnare la proprietà all'utente specificato. Lo stato consigliato per questa impostazione è: Administrators .Percorso chiave: [Diritti privilegio]SeTakeOwnershipPrivilege Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Administrators :Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Assumere la proprietà di file o altri oggetti Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Amministratori (Criterio) |
Critico |
Il diritto dell'utente di rappresentazione di un client dopo l'autenticazione deve essere assegnato solo agli amministratori, al servizio, al servizio locale e al servizio di rete. (AZ-WIN-73785) |
Descrizione: l'impostazione dei criteri consente ai programmi eseguiti per conto di un utente di rappresentare tale utente (o un altro account specificato) in modo che possano agire per conto dell'utente. Se questo diritto utente è necessario per questo tipo di rappresentazione, un utente non autorizzato non sarà in grado di convincere un client a connettersi, ad esempio, tramite chiamata di procedura remota (RPC) o named pipe a un servizio creato per rappresentare tale client, che potrebbe elevare le autorizzazioni dell'utente non autorizzato a livelli amministrativi o di sistema. I servizi avviati da Service Control Manager hanno il gruppo di servizi predefinito aggiunto per impostazione predefinita ai token di accesso. I server COM avviati dall'infrastruttura COM e configurati per l'esecuzione con un account specifico hanno anche aggiunto il gruppo di servizi ai token di accesso. Di conseguenza, a questi processi viene assegnato il diritto utente quando vengono avviati. Inoltre, un utente può rappresentare un token di accesso se esiste una delle condizioni seguenti: - Il token di accesso rappresentato è per questo utente. - L'utente, in questa sessione di accesso, ha eseguito l'accesso alla rete con credenziali esplicite per creare il token di accesso. - Il livello richiesto è minore di Impersonate, ad esempio Anonymous o Identify. Un utente malintenzionato che ha rappresentato un client dopo il diritto dell'utente di autenticazione potrebbe creare un servizio, ingannare un client per connetterli al servizio e quindi rappresentare il client per elevare il livello di accesso dell'utente malintenzionato a quello del client. Lo stato consigliato per questa impostazione è: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE . Nota: questo diritto utente è considerato un "privilegio sensibile" ai fini del controllo. Nota n. 2: un server membro con Microsoft SQL Server e il relativo componente facoltativo "Integration Services" installato richiederà un'eccezione speciale a questa raccomandazione per le voci aggiuntive generate da SQL a cui concedere il diritto utente.Percorso chiave: [Diritti privilegio]SeImpersonatePrivilege SISTEMA OPERATIVO: WS2016, WS2019 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Rappresentare un client dopo l'autenticazione Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Amministratori, Servizio, Servizio locale, Servizio di rete (Criterio) |
Importante |
Componenti di Windows
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Consenti autenticazione di base (CCE-36254-1) |
Descrizione: questa impostazione di criterio consente di gestire se il servizio Gestione remota Windows (WinRM) accetta l'autenticazione di base da un client remoto. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Gestione remota Windows (WinRM)\Servizio WinRM\Consenti autenticazione di base Nota: questo percorso di Criteri di gruppo viene fornito dal modello WindowsRemoteManagement.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Consenti dati di diagnostica (AZ-WIN-00169) |
Descrizione: questa impostazione dei criteri determina la quantità di dati di diagnostica e di utilizzo segnalati a Microsoft. Il valore 0 invierà dati minimi a Microsoft. Questi dati includono lo strumento di rimozione software dannoso (MSRT) e i dati di Windows Defender, se abilitati e le impostazioni client di telemetria. L'impostazione di un valore pari a 0 si applica solo ai dispositivi enterprise, EDU, IoT e server. L'impostazione di un valore pari a 0 per altri dispositivi equivale a scegliere un valore pari a 1. Il valore 1 invia solo una quantità di dati di diagnostica e di utilizzo di base. Si noti che l'impostazione dei valori 0 o 1 degraderà determinate esperienze nel dispositivo. Il valore 2 invia dati di diagnostica e utilizzo avanzati. Il valore 3 invia gli stessi dati di un valore pari a 2, oltre a dati di diagnostica aggiuntivi, inclusi i file e il contenuto che potrebbero aver causato il problema. Le impostazioni di telemetria di Windows 10 si applicano al sistema operativo Windows e ad alcune app proprietarie. Questa impostazione non si applica alle app di terze parti in esecuzione in Windows 10. Lo stato consigliato per questa impostazione è: Enabled: 0 - Security [Enterprise Only] . Nota: se l'impostazione "Consenti telemetria" è configurata su "0 - Sicurezza [Solo organizzazione]", le opzioni in Windows Update per rinviare gli aggiornamenti e gli aggiornamenti non avranno alcun effetto.Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: Diagnostic data off (not recommended) o Enabled: Send required diagnostic data :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Raccolta dati e versioni di anteprima\Consenti dati di diagnostica Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "DataCollection.admx/adml" incluso nei modelli amministrativi di Microsoft Windows 11 Release 21H2 (o versione successiva). Nota 2: nelle versioni precedenti dei modelli amministrativi di Microsoft Windows questa impostazione era inizialmente denominata Consenti telemetria, ma è stata rinominata Consenti dati di diagnostica a partire dai modelli amministrativi di Windows 11 Release 21H2. Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (Registro di sistema) |
Avviso |
Consentire l'indicizzazione dei file crittografati (CCE-38277-0) |
Descrizione: questa impostazione di criterio controlla se gli elementi crittografati possono essere indicizzati. Quando questa impostazione viene modificata, l'indice viene ricompilato completamente. Per mantenere la sicurezza per i file crittografati, è necessario usare la crittografia completa del volume, ad esempio Crittografia unità BitLocker o una soluzione non Microsoft. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Ricerca\Consenti indicizzazione di file crittografati Nota: questo percorso di Criteri di gruppo viene fornito dal modello Search.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Consenti agli account Microsoft di essere facoltativi (CCE-38354-7) |
Descrizione: questa impostazione di criterio consente di controllare se gli account Microsoft sono facoltativi per le app di Windows Store che richiedono un account per l'accesso. Questo criterio influisce solo sulle app di Windows Store che la supportano. Se abiliti questa impostazione di criterio, le app di Windows Store che in genere richiedono un account Microsoft per l'accesso consentiranno agli utenti di accedere con un account aziendale. Se si disabilita o non si configura questa impostazione di criterio, gli utenti dovranno accedere con un account Microsoft. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional Sistema operativo: WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Runtime app\Consenti agli account Microsoft di essere facoltativi Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo 'AppXRuntime.admx/adml' incluso nei modelli amministrativi di Microsoft Windows 8.1 & Server 2012 R2 (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.6.1 |
= 1 (Registro di sistema) |
Avviso |
Consenti traffico non crittografato (CCE-38223-4) |
Descrizione: questa impostazione di criterio consente di gestire se il servizio Gestione remota Windows (WinRM) invia e riceve messaggi non crittografati in rete. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Gestione remota Windows (WinRM)\Servizio WinRM\Consenti traffico non crittografato Nota: questo percorso di Criteri di gruppo viene fornito dal modello WindowsRemoteManagement.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Consenti il controllo utente sulle installazioni (CCE-36400-0) |
Descrizione: consente agli utenti di modificare le opzioni di installazione che in genere sono disponibili solo per gli amministratori di sistema. Le funzionalità di sicurezza di Windows Installer impediscono agli utenti di modificare le opzioni di installazione in genere riservate agli amministratori di sistema, ad esempio specificando la directory in cui sono installati i file. Se Windows Installer rileva che un pacchetto di installazione ha consentito all'utente di modificare un'opzione protetta, arresta l'installazione e visualizza un messaggio. Queste funzionalità di sicurezza funzionano solo quando il programma di installazione è in esecuzione in un contesto di sicurezza con privilegi in cui ha accesso alle directory negate all'utente. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Installer\Consenti il controllo utente sulle installazioni Nota: questo percorso di Criteri di gruppo viene fornito dal modello MSI.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows meno recenti questa impostazione è stata denominata Abilita controllo utente sulle installazioni, ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2).Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Installare sempre con privilegi elevati (CCE-37490-0) |
Descrizione: questa impostazione controlla se Windows Installer deve usare o meno le autorizzazioni di sistema quando installa qualsiasi programma nel sistema. Nota: questa impostazione viene visualizzata sia nelle cartelle Configurazione computer che Configurazione utente. Per rendere effettiva questa impostazione, è necessario abilitare l'impostazione in entrambe le cartelle. Attenzione: se abilitato, gli utenti esperti possono sfruttare le autorizzazioni concesse da questa impostazione per modificare i propri privilegi e ottenere l'accesso permanente a file e cartelle con restrizioni. Si noti che la versione configurazione utente di questa impostazione non è garantita la sicurezza. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: membro del dominio, membro del gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione utente\Criteri\Modelli amministrativi\Componenti di Windows\Windows Installer\Installa sempre con privilegi elevati Nota: questo percorso di Criteri di gruppo viene fornito dal modello MSI.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Richiedi sempre la password al momento della connessione (CCE-37929-7) |
Descrizione: questa impostazione di criterio specifica se Servizi terminal richiede sempre al computer client una password al momento della connessione. È possibile usare questa impostazione di criterio per applicare una richiesta di password per gli utenti che accedono a Servizi terminal, anche se hanno già specificato la password nel client Connessione Desktop remoto. Per impostazione predefinita, Servizi terminal consente agli utenti di accedere automaticamente se immettono una password nel client connessione Desktop remoto. Nota Se non si configura questa impostazione di criterio, l'amministratore del computer locale può usare lo strumento di configurazione di Servizi terminal per consentire o impedire l'invio automatico delle password. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza\Richiedi sempre la password al momento della connessione Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows Vista questa impostazione è stata denominata Richiedi sempre la password al momento della connessione, ma è stata rinominata a partire dai modelli amministrativi di Windows Server 2008 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.3.9.1 |
= 1 (Registro di sistema) |
Critico |
Applicazione: controllare il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime (CCE-37775-4) |
Descrizione: questa impostazione di criterio controlla il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime. Se si abilita questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi non vengono scritti nel log e vengono persi. Se si disabilita o non si configura questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi sovrascrivono gli eventi precedenti. Nota: gli eventi precedenti possono o non essere conservati in base all'impostazione dei criteri "Log di backup automaticamente quando è pieno". Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Applicazione\Controllo comportamento del registro eventi quando il file di log raggiunge le dimensioni massime Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nelle versioni precedenti di Modelli amministrativi di Microsoft Windows questa impostazione è stata inizialmente denominata Mantieni gli eventi precedenti, ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.1.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Applicazione: specificare le dimensioni massime del file di log (KB) (CCE-37948-7) |
Descrizione: questa impostazione di criterio specifica le dimensioni massime del file di log in kilobyte. Se si abilita questa impostazione di criterio, è possibile configurare le dimensioni massime del file di log in modo che siano comprese tra 1 megabyte (1024 kilobyte) e 2 terabyte (2147483647 kilobyte) in incrementi di kilobyte. Se si disabilita o non si configura questa impostazione di criterio, le dimensioni massime del file di log verranno impostate sul valore configurato localmente. Questo valore può essere modificato dall'amministratore locale usando la finestra di dialogo Proprietà log e il valore predefinito è 20 megabyte. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: 32,768 or greater :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Applicazione\Specificare le dimensioni massime del file di log (KB) Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows precedenti questa impostazione era inizialmente denominata Dimensioni massime log (KB), ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.1.2 |
>= 32768 (Registro di sistema) |
Critico |
Bloccare l'autenticazione utente di tutti gli account Microsoft consumer (AZ-WIN-20198) |
Descrizione: questa impostazione determina se le applicazioni e i servizi nel dispositivo possono usare la nuova autenticazione dell'account Microsoft consumer tramite Windows OnlineID e WebAccountManager le API. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth SISTEMA OPERATIVO: WS2016, WS2019 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Account Microsoft\Blocca l'autenticazione utente dell'account Microsoft consumer Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (Registro di sistema) |
Critico |
Configurare l'override dell'impostazione locale per la creazione di report a Microsoft MAPS (AZ-WIN-00173) |
Descrizione: questa impostazione di criterio consente di configurare un override locale per la configurazione per l'aggiunta a Microsoft MAPS. Questa impostazione può essere impostata solo da Criteri di gruppo. Se abiliti questa impostazione, l'impostazione delle preferenze locali avrà la priorità su Criteri di gruppo. Se si disabilita o non si configura questa impostazione, i Criteri di gruppo avranno la priorità sull'impostazione delle preferenze locali. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Defender Antivirus\MAPS\Configura override delle impostazioni locali per la creazione di report a Microsoft MAPS Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello WindowsDefender.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.1 & Server 2012 R2 Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Configurare Windows SmartScreen (CCE-35859-8) |
Descrizione: questa impostazione di criterio consente di gestire il comportamento di Windows SmartScreen. Windows SmartScreen consente di mantenere i PC più sicuri avvisando gli utenti prima di eseguire programmi non riconosciuti scaricati da Internet. Alcune informazioni vengono inviate a Microsoft sui file e sui programmi eseguiti nei PC con questa funzionalità abilitata. Se abiliti questa impostazione di criterio, il comportamento di Windows SmartScreen può essere controllato impostando una delle opzioni seguenti: * Fornisci un avviso prima di eseguire software sconosciuto scaricato * Disattiva SmartScreen Se disabiliti o non configuri questa impostazione di criterio, il comportamento di Windows SmartScreen viene gestito dagli amministratori del PC usando le impostazioni di Windows SmartScreen in Sicurezza e manutenzione. Opzioni: * Dare un avviso all'utente prima di eseguire il software sconosciuto scaricato * Disattiva SmartScreen Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled : Avvisa e impedisci bypass: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Defender SmartScreen\Explorer\Configura Windows Defender SmartScreen Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo WindowsExplorer.admx/adml incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Nota 2: nei modelli amministrativi di Microsoft Windows precedenti questa impostazione è stata inizialmente denominata Configura SmartScreen di Windows, ma è stata rinominata a partire dai modelli amministrativi di Windows 10 Release 1703.Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.85.1.1 |
= 1 (Registro di sistema) |
Avviso |
Rilevare la modifica dalla porta RDP predefinita (AZ-WIN-00156) |
Descrizione: questa impostazione determina se la porta di rete in ascolto di Connessioni Desktop remoto è stata modificata rispetto all'impostazione predefinita 3389 Percorso chiave: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: non applicabile Mapping standard di conformità: |
= 3389 (Registro di sistema) |
Critico |
Disabilitare il servizio Windows Search (AZ-WIN-00176) |
Descrizione: questa impostazione del Registro di sistema disabilita il servizio Windows Search Percorso chiave: System\CurrentControlSet\Services\Wsearch\Start Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: non applicabile Mapping standard di conformità: |
Non esiste o = 4 (Registro di sistema) |
Critico |
Non consentire la riproduzione automatica per dispositivi non con volume (CCE-37636-8) |
Descrizione: questa impostazione di criterio non consente AutoPlay per dispositivi MTP come fotocamere o telefoni. Se si abilita questa impostazione di criterio, AutoPlay non è consentito per dispositivi MTP come fotocamere o telefoni. Se disabiliti o non configuri questa impostazione di criterio, AutoPlay è abilitato per i dispositivi non con volume. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume Sistema operativo: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Criteri autoPlay\Disallow Autoplay per dispositivi non volume Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "AutoPlay.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.8.1 |
= 1 (Registro di sistema) |
Critico |
Non consentire l'autenticazione digest (CCE-38318-2) |
Descrizione: questa impostazione di criterio consente di gestire se il client Gestione remota Windows (WinRM) non userà l'autenticazione digest. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Gestione remota Windows (WinRM)\Client WinRM\Disallow Digest authentication Nota: questo percorso di Criteri di gruppo viene fornito dal modello WindowsRemoteManagement.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
=0 (Registro di sistema) |
Critico |
Impedire a WinRM di archiviare le credenziali RunAs (CCE-36000-8) |
Descrizione: questa impostazione di criterio consente di gestire se il servizio Gestione remota Windows (WinRM) non consentirà l'archiviazione delle credenziali RunAs per eventuali plug-in. Se si abilita questa impostazione di criterio, il servizio WinRM non consentirà di impostare i valori di configurazione RunAsUser o RunAsPassword per qualsiasi plug-in. Se un plug-in ha già impostato i valori di configurazione RunAsUser e RunAsPassword, il valore di configurazione RunAsPassword verrà cancellato dall'archivio credenziali nel computer. Se disabiliti o non configuri questa impostazione di criterio, il servizio WinRM consentirà di impostare i valori di configurazione RunAsUser e RunAsPassword per i plug-in e il valore RunAsPassword verrà archiviato in modo sicuro. Se si abilita e quindi si disabilita questa impostazione di criterio, tutti i valori configurati in precedenza per RunAsPassword dovranno essere reimpostati. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Gestione remota Windows (WinRM)\Servizio WinRM\Non consentire a WinRM di archiviare le credenziali RunAs Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "WindowsRemoteManagement.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.102.2.4 |
= 1 (Registro di sistema) |
Critico |
Non consentire il salvataggio delle password (CCE-36223-6) |
Descrizione: questa impostazione di criterio consente di impedire ai client di Servizi terminal di salvare le password in un computer. Nota Se questa impostazione di criterio è stata configurata in precedenza come Disabilitata o Non configurata, le password salvate in precedenza verranno eliminate la prima volta che un client di Servizi terminal si disconnette da qualsiasi server. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Client connessione Desktop remoto\Non consentire il salvataggio delle password Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.2.2 |
= 1 (Registro di sistema) |
Critico |
Non eliminare le cartelle temporanee all'uscita (CCE-37946-1) |
Descrizione: questa impostazione di criterio specifica se Servizi Desktop remoto mantiene le cartelle temporanee per sessione di un utente al momento della disconnessione. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Cartelle temporanee\Non eliminare cartelle temporanee all'uscita Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nelle versioni precedenti di Modelli amministrativi di Microsoft Windows questa impostazione è stata denominata Non eliminare la cartella temporanea all'uscita, ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.3.11.1 |
Non esiste o = 1 (Registro di sistema) |
Avviso |
Non visualizzare il pulsante di visualizzazione della password (CCE-37534-5) |
Descrizione: questa impostazione di criterio consente di configurare la visualizzazione del pulsante di visualizzazione della password nelle esperienze utente di immissione password. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal Sistema operativo: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Interfaccia utente credenziali\Non visualizzare il pulsante di visualizzazione della password Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "CredUI.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.16.1 |
= 1 (Registro di sistema) |
Avviso |
Non mostrare notifiche feedback (AZ-WIN-00140) |
Descrizione: questa impostazione di criteri consente a un'organizzazione di impedire ai propri dispositivi di visualizzare domande di feedback da Microsoft. Se abiliti questa impostazione di criterio, gli utenti non visualizzeranno più le notifiche di feedback tramite l'app Commenti e suggerimenti di Windows. Se disabiliti o non configuri questa impostazione di criterio, gli utenti potrebbero visualizzare le notifiche tramite l'app Commenti e suggerimenti di Windows che chiedono agli utenti commenti e suggerimenti. Nota: se si disabilita o non si configura questa impostazione di criterio, gli utenti possono controllare la frequenza con cui ricevono domande di feedback. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Raccolta dati e versioni di anteprima\Non visualizzare notifiche di feedback Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "FeedbackNotifications.admx/adml" incluso nei modelli amministrativi di Microsoft Windows 10 Release 1511 (o versioni successive). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.17.4 |
= 1 (Registro di sistema) |
Critico |
Non usare cartelle temporanee per sessione (CCE-38180-6) |
Descrizione: per impostazione predefinita, Servizi Desktop remoto crea una cartella temporanea separata nel server Host sessione Desktop remoto per ogni sessione attiva gestita da un utente nel server Host sessione Desktop remoto. La cartella temporanea viene creata nel server Host sessione Desktop remoto in una cartella Temp nella cartella del profilo dell'utente e denominata con "sessionid". Questa cartella temporanea viene usata per archiviare singoli file temporanei. Per recuperare spazio su disco, la cartella temporanea viene eliminata quando l'utente si disconnette da una sessione. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Cartelle temporanee\Non usare cartelle temporanee per sessione Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.3.11.2 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Enumerare gli account amministratore all'elevazione dei privilegi (CCE-36512-2) |
Descrizione: questa impostazione di criterio controlla se gli account amministratore vengono visualizzati quando un utente tenta di elevare un'applicazione in esecuzione. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Interfaccia utente credenziali\Enumerare gli account amministratore in caso di elevazione dei privilegi Nota: questo percorso di Criteri di gruppo viene fornito dal modello CredUI.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Impedire il download di enclosure (CCE-37126-0) |
Descrizione: questa impostazione di criterio impedisce all'utente di scaricare enclosure (allegati di file) da un feed al computer dell'utente. Lo stato consigliato per questa impostazione è: Enabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Internet Explorer\Feed\DisableEnclosureDownload Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Feed RSS\Impedisci il download di enclosure Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo "InetRes.admx/adml" incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows precedenti questa impostazione è stata denominata Disattiva download di enclosure, ma è stata rinominata a partire da Windows 8.0 & Server 2012 (non R2) Modelli amministrativi. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.66.1 |
= 1 (Registro di sistema) |
Avviso |
Richiedere comunicazioni RPC sicure (CCE-37567-5) |
Descrizione: specifica se un server host sessione Desktop remoto richiede comunicazioni RPC sicure con tutti i client o consente la comunicazione non protetta. È possibile usare questa impostazione per rafforzare la sicurezza delle comunicazioni RPC con i client consentendo solo le richieste autenticate e crittografate. Se lo stato è impostato su Abilitato, Servizi Desktop remoto accetta richieste da client RPC che supportano richieste sicure e non consente comunicazioni non protette con client non attendibili. Se lo stato è impostato su Disabilitato, Servizi Desktop remoto richiede sempre la sicurezza per tutto il traffico RPC. Tuttavia, la comunicazione non protetta è consentita per i client RPC che non rispondono alla richiesta. Se lo stato è impostato su Non configurato, è consentita la comunicazione non protetta. Nota: l'interfaccia RPC viene usata per amministrare e configurare Servizi Desktop remoto. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza\Richiedi comunicazione RPC sicura Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.3.9.2 |
= 1 (Registro di sistema) |
Critico |
Richiedere l'autenticazione utente per le connessioni remote usando l'autenticazione a livello di rete (AZ-WIN-00149) |
Descrizione: Richiedere l'autenticazione utente per le connessioni remote usando l'autenticazione a livello di rete Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza\Richiedi autenticazione utente per le connessioni remote tramite l'autenticazione a livello di rete Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows Vista questa impostazione è stata inizialmente denominata Richiedi autenticazione utente tramite RDP 6.0 per le connessioni remote, ma è stata rinominata a partire dai modelli amministrativi di Windows Server 2008 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.3.9.4 |
Non esiste o = 1 (Registro di sistema) |
Critico |
Analizza unità rimovibili (AZ-WIN-00177) |
Descrizione: questa impostazione di criterio consente di gestire se cercare software dannoso e software indesiderato nel contenuto di unità rimovibili, ad esempio unità flash USB durante l'esecuzione di un'analisi completa. Se si abilita questa impostazione, le unità rimovibili verranno analizzate durante qualsiasi tipo di analisi. Se si disabilita o non si configura questa impostazione, le unità rimovibili non verranno analizzate durante un'analisi completa. Le unità rimovibili possono comunque essere analizzate durante l'analisi rapida e l'analisi personalizzata. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Defender Antivirus\Scan\Scan\Scan unità rimovibili Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello WindowsDefender.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.1 & Server 2012 R2 Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
=0 (Registro di sistema) |
Critico |
Sicurezza: controllare il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime (CCE-37145-0) |
Descrizione: questa impostazione di criterio controlla il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime. Se si abilita questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi non vengono scritti nel log e vengono persi. Se si disabilita o non si configura questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi sovrascrivono gli eventi precedenti. Nota: gli eventi precedenti possono o non essere conservati in base all'impostazione dei criteri "Log di backup automaticamente quando è pieno". Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Sicurezza\Controllo comportamento del registro eventi quando il file di log raggiunge le dimensioni massime Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nelle versioni precedenti di Modelli amministrativi di Microsoft Windows questa impostazione è stata inizialmente denominata Mantieni gli eventi precedenti, ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.2.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Sicurezza: specificare le dimensioni massime del file di log (KB) (CCE-37695-4) |
Descrizione: questa impostazione di criterio specifica le dimensioni massime del file di log in kilobyte. Se si abilita questa impostazione di criterio, è possibile configurare la dimensione massima del file di log in modo che sia compresa tra 1 megabyte (1024 kilobyte) e 2 terabyte (2.147.483.647 kilobyte) in incrementi di kilobyte. Se si disabilita o non si configura questa impostazione di criterio, le dimensioni massime del file di log verranno impostate sul valore configurato localmente. Questo valore può essere modificato dall'amministratore locale usando la finestra di dialogo Proprietà log e il valore predefinito è 20 megabyte. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: 196,608 or greater :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Sicurezza\Specificare le dimensioni massime del file di log (KB) Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows precedenti questa impostazione era inizialmente denominata Dimensioni massime log (KB), ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.2.2 |
>= 196608 (Registro di sistema) |
Critico |
Invia campioni di file quando è necessaria un'ulteriore analisi (AZ-WIN-00126) |
Descrizione: questa impostazione di criterio configura il comportamento dell'invio di campioni quando viene impostato il consenso esplicito per la telemetria di MAPS. Le opzioni possibili sono: (0x0) Invia automaticamente (0x1) Invia automaticamente esempi sicuri (0x2) Non inviare mai (0x3) Inviare automaticamente tutti gli esempi Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: Configurazione computer\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\MAPS\Invia esempi di file quando è necessaria un'ulteriore analisi Mapping standard di conformità: |
= 1 (Registro di sistema) |
Avviso |
Imposta livello di crittografia connessione client (CCE-36627-8) |
Descrizione: questa impostazione di criterio specifica se il computer che sta per ospitare la connessione remota applicherrà un livello di crittografia per tutti i dati inviati tra di esso e il computer client per la sessione remota. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: High Level :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza\Imposta livello di crittografia connessione client Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'TerminalServer.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.65.3.9.5 |
Non esiste o = 3 (Registro di sistema) |
Critico |
Imposta il comportamento predefinito per l'esecuzione automatica (CCE-38217-6) |
Descrizione: questa impostazione di criterio imposta il comportamento predefinito per i comandi di esecuzione automatica. I comandi di esecuzione automatica vengono in genere archiviati nei file autorun.inf. Spesso avviano il programma di installazione o altre routine. Prima di Windows Vista, quando viene inserito un supporto contenente un comando di esecuzione automatica, il sistema eseguirà automaticamente il programma senza l'intervento dell'utente. Ciò crea un problema di sicurezza importante perché il codice può essere eseguito senza la conoscenza dell'utente. Il comportamento predefinito a partire da Windows Vista consiste nel richiedere all'utente se eseguire il comando di esecuzione automatica. Il comando di esecuzione automatica è rappresentato come gestore nella finestra di dialogo Riproduzione automatica. Se si abilita questa impostazione di criterio, un amministratore può modificare il comportamento predefinito di Windows Vista o versione successiva per l'esecuzione automatica in: a) Disabilitare completamente i comandi di esecuzione automatica o b) Ripristinare il comportamento precedente a Windows Vista di eseguire automaticamente il comando di esecuzione automatica. Se si disabilita o non si configura questa impostazione di criterio, Windows Vista o versione successiva richiederà all'utente se eseguire il comando di esecuzione automatica. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: Do not execute any autorun commands :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Criteri autoPlay\Imposta il comportamento predefinito per l'esecuzione automatica Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "AutoPlay.admx/adml" incluso in Microsoft Windows 8.0 & Server 2012 (non R2) Modelli amministrativi (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.8.2 |
= 1 (Registro di sistema) |
Critico |
Installazione: controllare il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime (CCE-38276-2) |
Descrizione: questa impostazione di criterio controlla il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime. Se si abilita questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi non vengono scritti nel log e vengono persi. Se si disabilita o non si configura questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi sovrascrivono gli eventi precedenti. Nota: gli eventi precedenti possono o non essere conservati in base all'impostazione dei criteri "Log di backup automaticamente quando è pieno". Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Setup\Control Comportamento del registro eventi quando il file di log raggiunge le dimensioni massime Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nelle versioni precedenti di Modelli amministrativi di Microsoft Windows questa impostazione è stata inizialmente denominata Mantieni gli eventi precedenti, ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.3.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Programma di installazione: specificare le dimensioni massime del file di log (KB) (CCE-37526-1) |
Descrizione: questa impostazione di criterio specifica le dimensioni massime del file di log in kilobyte. Se si abilita questa impostazione di criterio, è possibile configurare la dimensione massima del file di log in modo che sia compresa tra 1 megabyte (1024 kilobyte) e 2 terabyte (2.147.483.647 kilobyte) in incrementi di kilobyte. Se si disabilita o non si configura questa impostazione di criterio, le dimensioni massime del file di log verranno impostate sul valore configurato localmente. Questo valore può essere modificato dall'amministratore locale usando la finestra di dialogo Proprietà log e il valore predefinito è 20 megabyte. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: 32,768 or greater :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Setup\Specificare le dimensioni massime del file di log (KB) Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows precedenti questa impostazione era inizialmente denominata Dimensioni massime log (KB), ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.3.2 |
>= 32768 (Registro di sistema) |
Critico |
Accesso automatico dell'ultimo utente interattivo dopo un riavvio avviato dal sistema (CCE-36977-7) |
Descrizione: questa impostazione di criterio controlla se un dispositivo eseguirà automaticamente l'accesso all'ultimo utente interattivo dopo il riavvio del sistema da parte di Windows Update. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn Sistema operativo: WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Opzioni di accesso Windows\Accesso automatico ultimo utente interattivo dopo un riavvio avviato dal sistema Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello WinLogon.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.1 & Server 2012 R2 Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (Registro di sistema) |
Critico |
Specificare l'intervallo per verificare la disponibilità di aggiornamenti delle definizioni (AZ-WIN-00152) |
Descrizione: questa impostazione di criterio consente di specificare un intervallo in cui verificare la disponibilità di aggiornamenti delle definizioni. Il valore di ora viene rappresentato come numero di ore tra i controlli di aggiornamento. I valori validi sono compresi tra 1 (ogni ora) e 24 (una volta al giorno). Se si abilita questa impostazione, il controllo degli aggiornamenti delle definizioni verrà eseguito all'intervallo specificato. Se si disabilita o non si configura questa impostazione, il controllo degli aggiornamenti delle definizioni verrà eseguito all'intervallo predefinito. Percorso chiave: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: Configurazione computer\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Aggiornamenti di Intelligence sulla sicurezza\Specificare l'intervallo per verificare la presenza di aggiornamenti delle funzionalità di intelligence per la sicurezza Mapping standard di conformità: |
8= (Registro di sistema) |
Critico |
Sistema: controllare il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime (CCE-36160-0) |
Descrizione: questa impostazione di criterio controlla il comportamento del registro eventi quando il file di log raggiunge le dimensioni massime. Se si abilita questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi non vengono scritti nel log e vengono persi. Se si disabilita o non si configura questa impostazione di criterio e un file di log raggiunge le dimensioni massime, i nuovi eventi sovrascrivono gli eventi precedenti. Nota: gli eventi precedenti possono o non essere conservati in base all'impostazione dei criteri "Log di backup automaticamente quando è pieno". Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Sistema\Controllo comportamento registro eventi quando il file di log raggiunge le dimensioni massime Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nelle versioni precedenti di Modelli amministrativi di Microsoft Windows questa impostazione è stata inizialmente denominata Mantieni gli eventi precedenti, ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.4.1 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Sistema: specificare le dimensioni massime del file di log (KB) (CCE-36092-5) |
Descrizione: questa impostazione di criterio specifica le dimensioni massime del file di log in kilobyte. Se si abilita questa impostazione di criterio, è possibile configurare la dimensione massima del file di log in modo che sia compresa tra 1 megabyte (1024 kilobyte) e 2 terabyte (2.147.483.647 kilobyte) in incrementi di kilobyte. Se si disabilita o non si configura questa impostazione di criterio, le dimensioni massime del file di log verranno impostate sul valore configurato localmente. Questo valore può essere modificato dall'amministratore locale usando la finestra di dialogo Proprietà log e il valore predefinito è 20 megabyte. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: 32,768 or greater :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Sistema\Specificare le dimensioni massime del file di log (KB) Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'EventLog.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Nota 2: nei modelli amministrativi di Microsoft Windows precedenti questa impostazione era inizialmente denominata Dimensioni massime log (KB), ma è stata rinominata a partire dai modelli amministrativi di Windows 8.0 & Server 2012 (non R2). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.27.4.2 |
>= 32768 (Registro di sistema) |
Critico |
L'inventario del programma di compatibilità delle applicazioni deve essere impedito di raccogliere dati e inviare le informazioni a Microsoft. (AZ-WIN-73543) |
Descrizione: alcune funzionalità possono comunicare con il fornitore, inviare informazioni di sistema o scaricare dati o componenti per la funzionalità. La disattivazione di questa funzionalità impedirà l'invio di informazioni potenzialmente riservate all'esterno dell'organizzazione e impedirà aggiornamenti non controllati al sistema. Questa impostazione impedirà all'inventario programmi di raccogliere dati su un sistema e di inviare le informazioni a Microsoft. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: membro del dominio Percorso criteri di gruppo: Configurazione computer\Modelli amministrativi\Componenti di Windows\Compatibilità applicazioni\Disattiva agente di raccolta inventario Mapping standard di conformità: |
= 1 (Registro di sistema) |
Informazioni |
Disattiva la riproduzione automatica (CCE-36875-3) |
Descrizione: la riproduzione automatica inizia a leggere da un'unità non appena si inseriscono supporti nell'unità, il che fa sì che il file di installazione per programmi o supporti audio venga avviato immediatamente. Un utente malintenzionato potrebbe usare questa funzionalità per avviare un programma per danneggiare il computer o i dati nel computer. È possibile abilitare l'impostazione Disattiva riproduzione automatica per disabilitare la funzionalità Di riproduzione automatica. La riproduzione automatica è disabilitata per impostazione predefinita in alcuni tipi di unità rimovibili, ad esempio dischi floppy e unità di rete, ma non nelle unità CD-ROM. Nota Non è possibile usare questa impostazione di criterio per abilitare La riproduzione automatica nelle unità computer in cui è disabilitata per impostazione predefinita, ad esempio dischi floppy e unità di rete. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled: All drives :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Criteri autoPlay\Disattiva riproduzione automatica Nota: questo percorso di Criteri di gruppo viene fornito dal modello di Criteri di gruppo 'AutoPlay.admx/adml' incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows. Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.8.3 |
= 255 (Registro di sistema) |
Critico |
Disattivare La prevenzione dell'esecuzione dei dati per Explorer (CCE-37809-1) |
Descrizione: la disabilitazione della prevenzione dell'esecuzione dei dati può consentire a determinate applicazioni plug-in legacy di funzionare senza terminare Explorer. Lo stato consigliato per questa impostazione è: Disabled . Nota: alcune applicazioni plug-in legacy e altri software potrebbero non funzionare con La prevenzione dell'esecuzione dei dati e richiederanno la definizione di un'eccezione per tale plug-in/software specifico.Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention Sistema operativo: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Esplora file\Disattiva prevenzione esecuzione dati per Esplora risorse Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello Explorer.admx/adml Criteri di gruppo incluso in Microsoft Windows 7 & Server 2008 R2 Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Disattivare la terminazione dell'heap in caso di danneggiamento (CCE-36660-9) |
Descrizione: senza interruzione dell'heap in caso di danneggiamento, le applicazioni plug-in legacy possono continuare a funzionare quando una sessione di Esplora file è danneggiata. Assicurarsi che la terminazione dell'heap in caso di danneggiamento impedisca questo problema. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Esplora file\Disattiva terminazione dell'heap in caso di danneggiamento Nota: questo percorso di Criteri di gruppo viene fornito dal modello Explorer.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
Non esiste o = 0 (Registro di sistema) |
Critico |
Disattiva le esperienze per gli utenti consumer Microsoft (AZ-WIN-00144) |
Descrizione: questa impostazione dei criteri disattiva le esperienze che consentono agli utenti di sfruttare al meglio i dispositivi e l'account Microsoft. Se abiliti questa impostazione dei criteri, gli utenti non vedranno più i consigli personalizzati di Microsoft e le notifiche relative al loro account Microsoft. Se si disabilita o non si configura questa impostazione di criterio, gli utenti potrebbero visualizzare suggerimenti da Microsoft e notifiche sul proprio account Microsoft. Nota: questa impostazione si applica solo agli SKU Enterprise ed Education. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Contenuto cloud\Disattiva esperienze utente Microsoft Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello di Criteri di gruppo "CloudContent.admx/adml" incluso in Modelli amministrativi di Microsoft Windows 10 Release 1511 (o versione successiva). Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.14.2 |
Non esiste o = 1 (Registro di sistema) |
Avviso |
Disattivare la modalità protetta del protocollo shell (CCE-36809-2) |
Descrizione: questa impostazione di criterio consente di configurare la quantità di funzionalità che il protocollo della shell può avere. Quando si usano le funzionalità complete di questa applicazione di protocollo, è possibile aprire cartelle e avviare file. La modalità protetta riduce la funzionalità di questo protocollo consentendo alle applicazioni di aprire solo un set limitato di cartelle. Le applicazioni non sono in grado di aprire file con questo protocollo quando è in modalità protetta. È consigliabile lasciare questo protocollo nella modalità protetta per aumentare la sicurezza di Windows. Lo stato consigliato per questa impostazione è: Disabled .Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior Sistema operativo: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Disabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Esplora file\Disattiva modalità protetta del protocollo shell Nota: questo percorso di Criteri di gruppo viene fornito dal modello WindowsExplorer.admx/adml Criteri di gruppo incluso in tutte le versioni dei modelli amministrativi di Microsoft Windows.Mapping standard di conformità: ID piattaformadei nomi STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Attivare il monitoraggio del comportamento (AZ-WIN-00178) |
Descrizione: questa impostazione di criterio consente di configurare il monitoraggio del comportamento. Se si abilita o non si configura questo monitoraggio del comportamento delle impostazioni verrà abilitato. Se si disabilita questo monitoraggio del comportamento delle impostazioni verrà disabilitato. Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender\Protezione in tempo reale\DisableBehaviorMonitoring SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso Criteri di gruppo: per stabilire la configurazione consigliata tramite Criteri di gruppo, impostare il percorso dell'interfaccia utente seguente su Enabled :Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Defender Antivirus\Protezione in tempo reale\Attiva monitoraggio del comportamento Nota: questo percorso di Criteri di gruppo potrebbe non esistere per impostazione predefinita. Viene fornito dal modello WindowsDefender.admx/adml Criteri di gruppo incluso in Microsoft Windows 8.1 & Server 2012 R2 Modelli amministrativi (o versione successiva).Mapping standard di conformità: ID piattaformadei nomi CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
Non esiste o = 0 (Registro di sistema) |
Avviso |
Attivare la registrazione dei blocchi di script di PowerShell (AZ-WIN-73591) |
Descrizione: questa impostazione di criterio abilita la registrazione di tutti gli input di script di PowerShell nel canale registro Applications and Services Logs\Microsoft\Windows\PowerShell\Operational eventi. Lo stato consigliato per questa impostazione è: Enabled . Nota: se la registrazione degli eventi di avvio/arresto blocco script è abilitata (casella di opzione selezionata), PowerShell bloccherà eventi aggiuntivi quando viene avviata o arrestata la chiamata di un comando, un blocco di script, una funzione o uno script. L'abilitazione di questa opzione genera un volume elevato di registri eventi. CIS ha scelto intenzionalmente di non fare una raccomandazione per questa opzione, poiché genera un volume elevato di eventi. Se un'organizzazione sceglie di abilitare l'impostazione facoltativa (selezionata), questa opzione è conforme anche al benchmark.Percorso chiave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging SISTEMA OPERATIVO: WS2016, WS2019, WS2022 Tipo di server: Controller di dominio, Membro del dominio, Membro gruppo di lavoro Percorso criteri di gruppo: Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows PowerShell\Attiva registrazione blocco script di PowerShell Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (Registro di sistema) |
Importante |
Impostazioni di Windows - Impostazioni di sicurezza
Nome (ID) |
Dettagli | Valore previsto (Tipo) |
Gravità |
---|---|---|---|
Regolazione limite risorse memoria per un processo (CCE-10849-8) |
Descrizione: questa impostazione di criterio consente a un utente di regolare la quantità massima di memoria disponibile per un processo. La possibilità di regolare le quote di memoria è utile per l'ottimizzazione del sistema, ma può essere impropria. Nelle mani sbagliate, potrebbe essere usato per lanciare un attacco Denial of Service (DoS). Lo stato consigliato per questa impostazione è: Administrators, LOCAL SERVICE, NETWORK SERVICE . Nota: un server membro che contiene il ruolo server Web (IIS) con il servizio ruolo server Web richiederà un'eccezione speciale a questa raccomandazione, per consentire ai pool di applicazioni IIS di concedere questo diritto utente. Nota n. 2: un server membro con Microsoft SQL Server installato richiederà un'eccezione speciale a questa raccomandazione per le voci aggiuntive generate da SQL a cui concedere il diritto utente.Percorso chiave: [Rights Rights]SeIncreaseQuotaPrivilege Sistema operativo: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo di server: controller di dominio, membro del dominio Percorso Criteri di gruppo: Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Regolare le quote di memoria per un processo Mapping standard di conformità: ID piattaformadei nomi CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Amministratori, Servizio locale, Servizio di rete (Criterio) |
Avviso |
Nota
La disponibilità di impostazioni di configurazione guest Criteri di Azure specifiche può variare in Azure per enti pubblici e in altri cloud nazionali.
Passaggi successivi
Articoli aggiuntivi sulla configurazione di Criteri di Azure e guest:
- Criteri di Azure configurazione guest.
- Panoramica della Conformità con le normative.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.