你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
注释
此页面专门适用于 Windows Server 2025 的 Azure 安全基线, 不适用于 任何其他服务器版本。 此基线支持新的可自定义计算机配置安全基线体验,因此你可以修改基线的内容,使其包括/排除规则以设置不同的值。
本文详细介绍适用于以下实现中的 Windows 来宾的配置设置:
- Windows 计算机应满足 Azure 计算安全基线的要求 Azure Policy 来宾配置定义
- 在 Microsoft Defender for Cloud 中,应修正计算机上安全配置中的漏洞
对于修正检查和建议,我们采取了最佳做法方法 - 但请始终确保命令将经过测试,并且不会在任何生产环境中盲目应用。
新版本的审计和补救策略由我们的引擎 OSConfig 提供支持。
有关详细信息,请参阅 Azure Policy 来宾配置和 Azure 安全基准概述 (V2)。
常规安全控件
| Name | Description | Severity | 期望值 |
|---|---|---|---|
| AfdDisable地址共享 | 控件名称:系统服务 Afd DisableAddressSharing 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Afd\Parameters 注册表值:DisableAddressSharing 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 允许匿名SIDOrNameTranslation (CCE-10024-8) |
控制名称:网络访问:允许匿名 SID/名称转换 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation CSP 值类型:整数 |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 允许自定义SSPAPIntoLSASS | 控制名称:允许将自定义 SSP 和 AP 加载到 LSASS 中 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:AllowCustomSSPsAP 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AllowedToFormatAndEjectRemovableMedia (CCE-37701-0) |
控件名称:设备:允许格式化和弹出可移动媒体 注册表项:HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 注册表值:AllocateDASD 注册表值类型:REG_SZ CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia CSP 值类型:字符串 |
警告 | 域控制器 = “OneOf(Equals('0'), Equals(''))” 成员服务器 = “OneOf(Equals('0'), Equals(''))” 工作组成员 = “OneOf(Equals('0'), Equals(''))” |
| AllowICMPRedirectsToOverrideOSPFGeneratedRoutes (AZ-WIN-73503) |
控制名称:MSS:(EnableICMPRedirect)允许 ICMP 重定向覆盖 OSPF 生成的路由 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 注册表值:EnableICMPRedirect 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 允许本地系统NULLSessionFallback (CCE-37035-3) |
控件名称:网络安全:允许 LocalSystem NULL 会话回退 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 注册表值:allownullsessionfallback 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| AllowLocalSystemToUseComputerIdentityForNTLM (CCE-38341-4) |
控件名称:网络安全:允许本地系统将计算机标识用于 NTLM 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:UseMachineId 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AllowPKU2UAuthenticationAllowOnlineID (CCE-38047-7) |
控件名称:网络安全:允许对此计算机的 PKU2U 身份验证请求使用联机标识 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\pku2u 注册表值:AllowOnlineID 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AllowSystemToBeShutDownWithoutHavingToLogOn (CCE-36788-8) |
控制名称:关机:允许无需登录即可关闭系统 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:ShutdownWithoutLogon 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn CSP 值类型:整数 |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| AllowTheComputerToIgnoreNetBIOSNameReleaseRequestsExceptFromWINSServers (AZ-WIN-202214) |
控件名称:MSS:(NoNameReleaseOnDemand) 允许计算机忽略 NetBIOS 名称发布请求,但来自 WINS 服务器的请求除外 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters 注册表值:NoNameReleaseOnDemand 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AllowUIAccessApplicationsToPromptForElevation (CCE-36863-9) |
控件名称:用户帐户控制:允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:EnableUIADesktopToggle 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| AmountOfIdleTimeRequiredBeforeSuspendingSession (CCE-38046-9) |
控件名称:Microsoft 网络服务器:挂起会话之前所需的空闲时间 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:AutoDisconnect 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession CSP 值类型:整数 |
危急 | 域控制器 = “范围 (1, 15)” 成员服务器 = “范围(1, 15)” 工作组成员 = “范围(1, 15)” |
| 应用程序身份启动类型 | 控件名称:应用程序标识 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\AppIDSvc 注册表值:开始 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (2)” 成员服务器 = “等于 (2)” 工作组成员 = “等于 (2)” |
| 应用程序管理MSIAllowUserControlOverInstall (CCE-36400-0) |
控件名称:允许用户控制安装 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Installer 注册表值:EnableUserControl 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/ApplicationManagement/MSIAllowUserControlOverInstall CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| 应用程序管理MSIAlwaysInstallWithElevatedPrivileges (CCE-37490-0) |
控件名称:始终使用提升的权限安装 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Installer 注册表值:AlwaysInstallElevated 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP 值类型:整数 |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| ApplyUACRestrictionsToLocalAccountsOnNetworkLogon (AZ-WIN-73495) |
控件名称:将 UAC 限制应用于网络登录时的本地帐户 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:LocalAccountTokenFilterPolicy 注册表值类型:REG_DWORD |
危急 | 成员服务器 = “等于 (0)” |
| AppRuntimeAllowMicrosoftAccountsToBe可选 (CCE-38354-7) |
控件名称:允许 Microsoft 帐户为可选 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表价值:MSAptional 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 审计帐户锁定 (CCE-37133-6) |
控件名称:审核帐户锁定 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogonLogoff_AuditAccountLockout CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(2), Equals(3))” 成员服务器 = “OneOf(Equals(2), Equals(3))” 工作组成员 = “OneOf(Equals(2), Equals(3))” |
| 审核身份验证策略更改 (CCE-38327-3) |
控制名称:审核身份验证策略更改 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/PolicyChange_AuditAuthenticationPolicyChange CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| 审核授权策略更改 (CCE-36320-0) |
控制名称:审核授权策略更改 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/PolicyChange_AuditAuthorizationPolicyChange CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| 审核备份和恢复权限 | 控制名称:审核备份和还原权限的使用情况 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:FullPrivilegeAuditing 注册表值类型:REG_BINARY CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege CSP 值类型:二进制 |
危急 | 域控制器 = “等于 ('MDA=')” 成员服务器 = “等于('MDA=')” 工作组成员 = “等于('MDA=')” |
| AuditClientDoesNotSupportEncryption | 控制名称:审核客户端不支持加密 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:AuditClientDoesNotSupportEncryption 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AuditClientDoesNotSupportSigning | 控件名称:审核客户端不支持签名 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:AuditClientDoesNotSupportSigning 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 审计计算机帐户管理 (CCE-38004-8) |
控件名称:审核计算机帐户管理 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountManagement_AuditComputerAccountManagement CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” |
| 审核凭据验证 (CCE-37741-6) |
控件名称:审核凭据验证 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogon_AuditCredentialValidation CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| 审计详细文件共享 (AZ-WIN-00100) |
控件名称:审核详细文件共享 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/ObjectAccess_AuditDetailedFileShare CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(2), Equals(3))” 成员服务器 = “OneOf(Equals(2), Equals(3))” 工作组成员 = “OneOf(Equals(2), Equals(3))” |
| AuditDirectoryServiceAccess (CCE-37433-0) |
控制名称:审核目录服务访问 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/DSAccess_AuditDirectoryServiceAccess CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(2), Equals(3))” |
| AuditDirectoryService更改 (CCE-37616-0) |
控件名称:审核目录服务更改 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/DSAccess_AuditDirectoryServiceChanges CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” |
| AuditDirectoryService复制 (AZ-WIN-00093) |
控制名称:审核目录服务复制 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/DSAccess_AuditDirectoryServiceReplication CSP 值类型:整数 |
危急 | 域控制器 = “范围 (0, )” |
| 审计分发组管理 (CCE-36265-7) |
控制名称:审核通讯组管理 CSP 名称:./Vendor/MSFT/Policy CSP 路径:config/audit/AccountManagement_AuditDistributionGroupManagement CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” |
| 审计文件共享 (AZ-WIN-00102) |
控件名称:审核文件共享 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/ObjectAccess_AuditFileShare CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| 审计组成员资格 (AZ-WIN-00026) |
控制名称:审核组成员身份 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogonLogoff_AuditGroupMembership CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| AuditInsecureGuestLogon | 控制名称:审核不安全的来宾登录 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanServer 注册表值:AuditInsecureGuestLogon 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AuditIPsec驱动程序 (CCE-37853-9) |
控件名称:审核 IPsec 驱动程序 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/System_AuditIPsecDriver CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditKerberosAuthenticationService (AZ-WIN-00004) |
控件名称:审核 Kerberos 身份验证服务 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogon_AuditKerberosAuthenticationService CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” |
| AuditKerberosServiceTicketOperations (AZ-WIN-00005) |
控制名称:审核 Kerberos 服务票证作 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations CSP 值类型:整数 |
危急 | 域控制器 = “等于 (2)” |
| 审核注销 (CCE-38237-4) |
控制名称:审核注销 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogonLogoff_AuditLogoff CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| 审核登录 (CCE-38036-0) |
控件名称:审核登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogonLogoff_AuditLogon CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditMPSSVCRuleLevelPolicyChange (AZ-WIN-00111) |
控制名称:审核 MPSSVC Rule-Level 策略更改 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditOtherAccountManagement事件 (CCE-37855-4) |
控件名称:审核其他帐户管理事件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountManagement_AuditOtherAccountManagementEvents CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” |
| AuditOtherLogonLogoffEvents (CCE-36322-6) |
控件名称:审核其他登录/注销事件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditOtherObjectAccess事件 (AZ-WIN-00113) |
控件名称:审核其他对象访问事件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditOtherPolicyChangeEvents (AZ-WIN-00114) |
控制名称:审核由策略更改类别中未审核的其他安全策略更改生成的事件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:config/audit/PolicyChange_AuditOtherPolicyChangeEvents CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(2), Equals(3))” 成员服务器 = “OneOf(Equals(2), Equals(3))” 工作组成员 = “OneOf(Equals(2), Equals(3))” |
| AuditOther系统事件 (CCE-38030-3) |
控件名称:审核其他系统事件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/System_AuditOtherSystemEvents CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditPnPE外部设备 (AZ-WIN-00182) |
控制名称:即插即用检测到外部设备时进行审核 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/DetailedTracking_AuditPNPActivity CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 审计策略更改 (CCE-38028-7) |
控制名称:审核策略更改 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/PolicyChange_AuditPolicyChange CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 审核流程创建或启动 (CCE-36059-4) |
控件名称:创建或启动流程时生成的审核事件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:config/audit/DetailedTracking_AuditProcessCreation CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 审计可移动存储 (CCE-37617-8) |
控制名称:审核可移动存储 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/ObjectAccess_AuditRemovableStorage CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| 审计安全组管理 (CCE-38034-5) |
控制名称:审核安全组管理 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountManagement_AuditSecurityGroupManagement CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| 审核安全状态更改 (CCE-38114-5) |
控制名称:审核安全状态更改 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/System_AuditSecurityStateChange CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| AuditSecuritySystemExtension (CCE-36144-4) |
控制名称:审计安全系统扩展 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/System_AuditSecuritySystemExtension CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| AuditSensitivePrivilegeUse (CCE-36267-3) |
控制名称:审核敏感权限使用 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AuditServerDoesNotSupport加密 | 控制名称:审核服务器不支持加密 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanServer 注册表值:AuditServerDoesNotSupportEncryption 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AuditServerDoesNotSupportSigning | 控件名称:审核服务器不支持签名 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanServer 注册表值:AuditServerDoesNotSupportSigning 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AuditSettingsIncludeCmdLine (CCE-36925-6) |
控件名称:在进程创建事件中包括命令行 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit 注册表值:ProcessCreationIncludeCmdLine_Enabled 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AuditSpecialLogon (CCE-36266-5) |
控件名称:审核特殊登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Audit/AccountLogonLogoff_AuditSpecialLogon CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| 审计系统完整性 (CCE-37132-8) |
控制名称:审计系统完整性 CSP 名称:./Vendor/MSFT/Policy CSP 路径:config/audit/System_AuditSystemIntegrity CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| 审计用户帐户管理 (CCE-37856-2) |
控制名称:审核用户帐户管理 CSP 名称:./Vendor/MSFT/Policy CSP 路径:config/audit/AccountManagement_AuditUserAccountManagement CSP 值类型:整数 |
危急 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| AutoplayDisallowAutoplayForNonVolumeDevices (CCE-37636-8) |
控件名称:不允许非卷设备的自动播放 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer 注册表值:NoAutoplayfornonVolume 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 自动播放设置默认自动运行行为 (CCE-38217-6) |
控件名称:设置自动运行的默认行为 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 注册表值:NoAutorun 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 自动播放关闭自动播放 (CCE-36875-3) |
控件名称:关闭自动播放 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 注册表值:NoDriveTypeAutoRun 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (255)” 成员服务器 = “等于 (255)” 工作组成员 = “等于 (255)” |
| BehaviorOfTheElevationPromptForAdministrators (CCE-37029-6) |
控件名称:用户帐户控制:管理员审批模式下管理员的提升提示行为 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:ConsentPromptBehaviorAdmin 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators CSP 值类型:整数 |
危急 | 域控制器 = “范围 (1, 2)” 成员服务器 = “范围(1, 2)” 工作组成员 = “范围 (1, 2)” |
| BehaviorOfTheElevationPromptForStandardUsers (CCE-36864-7) |
控件名称:用户帐户控制:标准用户的提升提示行为 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:ConsentPromptBehaviorUser 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 阻止消费者Microsoft帐户 (亚利桑那州-赢-20198) |
控件名称:阻止所有使用者 Microsoft 帐户用户身份验证 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\MicrosoftAccount 注册表值:DisableUserAuth 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| BlockNetbios发现 | 控件名称:阻止基于 NetBIOS 的域控制器位置发现 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters 注册表值:BlockNetbiosDiscovery 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 块NTLM | 控制名称:块 NTLM (LM NTLM NTLMv2) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:BlockNTLM 注册表值类型:REG_DWORD |
重要 | 域控制器 = “范围 (0, 1)” 成员服务器 = “范围(0, 1)” 工作组成员 = “范围(0, 1)” |
| BlockNTLMServerExceptionList (阻止 NTLMServerExceptionList) | 控件名称:阻止 NTLM 服务器异常列表 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:BlockNTLMServerExceptionList 注册表值类型:REG_MULTI_SZ |
信息 | 域控制器 = “OneOf(Equals(''), Equals(null))” 成员服务器 = “OneOf(Equals(''), Equals(null))” 工作组成员 = “OneOf(Equals(''), Equals(null))” |
| 清除虚拟内存页面文件 (AZ-WIN-00181) |
控件名称:关闭:清除虚拟内存页文件 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 注册表值:ClearPageFileAtShutdown 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile CSP 值类型:整数 |
危急 | 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| 配置DNSClientNETBIOS | 控件名称:配置 NetBIOS 设置 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient 注册表价值:EnableNetbios 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 配置内核ShadowStacks启动 | 控件名称:启用基于虚拟化的安全性 内核ShadowStack启动 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 注册表值:ConfigureKernelShadowStacksLaunch 注册表值类型:REG_DWORD |
警告 | 域控制器 = “范围 (1, 2)” 成员服务器 = “范围(1, 2)” 工作组成员 = “范围 (1, 2)” |
| 配置SMBV1ClientDriver (AZ-WIN-00150) |
控件名称:配置 SMB v1 客户端驱动程序 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\MrxSmb10 注册表值:开始 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (4)” 成员服务器 = “等于 (4)” 工作组成员 = “等于(4)” |
| 配置SMBV1服务器 (AZ-WIN-00175) |
控件名称:禁用 SMB v1 服务器 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值: SMB1 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| ConnectivityDisableDownloadingOfPrintDriversOverHTTP (CCE-36625-2) |
控件名称:关闭通过 HTTP 下载打印驱动程序 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers 注册表值:DisableWebPnPDownload 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| ConnectivityProhibitInstallationAndConfigurationOfNetworkBridge (CCE-38002-2) |
控制名称:禁止在 DNS 域网络上安装和配置网络网桥 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Network Connections 注册表值:NC_AllowNetBridge_NLA 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| CredentialProvidersAllowPINLogon (CCE-37528-7) |
控件名称:打开方便 PIN 登录 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:AllowDomainPINLogon 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| CredentialsDelegationRemoteHostAllowsDelegationOfNonExportableCredentials (AZ-WIN-20199) |
控制名称:远程主机允许委派不可导出的凭据 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation 注册表值:AllowProtectedCreds 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 凭据UIDisablePasswordReveal (CCE-37534-5) |
控制名称:不显示密码显示按钮 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredUI 注册表值:DisablePasswordReveal 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 凭据UIEnumerateAdministrators (CCE-36512-2) |
控件名称:枚举提升时的管理员帐户 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI 注册表值:EnumerateAdministrators 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| CredSspAllowEncryptionOracle (亚利桑那州-WIN-201910) |
控制名称:CredSSP 协议的加密 Oracle 修复 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters 注册表值:AllowEncryptionOracle 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| CryptographyAllowedKerberosEncryptionTypes (CCE-37755-6) |
控制名称:网络安全:配置 Kerberos 允许的加密类型 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters 注册表值:SupportedEncryptionTypes 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(2147483624), Equals(2147483632), Equals(2147483640))” 成员服务器 = “OneOf(Equals(2147483624), Equals(2147483632), Equals(2147483640))” 工作组成员 = “OneOf(Equals(2147483624), Equals(2147483632), Equals(2147483640))” |
| 密码学EccCurve | 控件名称:SSL Cryptography EccCurves 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 注册表值:EccCurves 注册表值类型:REG_MULTI_SZ |
危急 | 域控制器 = “ContainsAtMost('NistP256','NistP384')” 成员服务器 = “ContainsAtMost('NistP256','NistP384')” 工作组成员 = “ContainsAtMost('NistP256','NistP384')” |
| 密码学ForceStrongKeyProtection (AZ-WIN-73699) |
控件名称:系统加密:对计算机上存储的用户密钥强制强密钥保护 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Cryptography 注册表值:ForceKeyProtection 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Cryptography/ConfigureSystemCryptographyForceStrongKeyProtection CSP 值类型:整数 |
重要 | 域控制器 = “等于 (2)” 成员服务器 = “等于 (2)” 工作组成员 = “等于 (2)” |
| 密码学SSLCipherSuites (AZ-WIN-00153) |
控制名称:SSL 加密密码套件 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 注册表值:函数 注册表值类型:REG_SZ |
危急 | (域控制器 = “ContainsAtMost('TLS_AES_128_GCM_SHA256','TLS_AES_256_GCM_SHA384', 'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384', 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384', 'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384', 'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256','TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384')“, 成员服务器 = “ContainsAtMost('TLS_AES_128_GCM_SHA256','TLS_AES_256_GCM_SHA384', 'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384', 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384', 'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384', 'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256','TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384')“, 工作组成员 = “ContainsAtMost('TLS_AES_128_GCM_SHA256','TLS_AES_256_GCM_SHA384', 'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384', 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384', 'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384', 'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256','TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384')“) |
| DetectApplicationInstallationsAndPromptForElevation (CCE-36533-8) |
控件名称:用户帐户控制:检测应用程序安装并提示提升 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:EnableInstallerDetection 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DeviceGuardLsaCfgFlags (AZ-WIN-73515) |
控件名称:打开 CredentialGuard 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:LsaCfgFlags 注册表值类型:REG_DWORD |
危急 | 成员服务器 = “范围(1, 2)” 工作组成员 = “范围 (1, 2)” |
| DeviceGuardRequireMicrosoftSignedBootChain | 控件名称:Secured-Core 需要 MicrosoftSignedBootChain 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard 注册表值:RequireMicrosoftSignedBootChain 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DeviceGuardRequirePlatformSecurity功能 (AZ-WIN-73513) |
控件名称:Secured-Core 需要平台安全性 (安全启动、DMA) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 注册表值:RequirePlatformSecurityFeatures 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceGuard/RequirePlatformSecurityFeatures CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(3))” 成员服务器 = “OneOf(Equals(1), Equals(3))” 工作组成员 = “OneOf(Equals(1), Equals(3))” |
| DeviceGuardRequireUEFIMemoryAttributes表 | 控件名称:Secured-Core 需要 UEFI 内存属性表 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 注册表值: HVCIMATRequired 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DeviceInstallationPreventDeviceMetadataFromNetwork (AZ-WIN-202251) |
控件名称:阻止从 Internet 检索设备元数据 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Device Metadata 注册表值:PreventDeviceMetadataFromNetwork 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 设备锁定帐户锁定策略 | 控件名称:帐户锁定策略 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/AccountLockoutPolicy CSP 值类型:字符串 |
危急 | 域控制器 = “AllOf(Pattern('ResetAccountLockoutCounterAfter:[1][5-9]│[2-9]\d│[1-9]\d{2,}'), Pattern('AccountLockoutDuration:[1][5-9]│[2-9]\d│[1-9]\d{2,}'), Pattern('AccountLockoutThreshold:[1-3]'))” 成员服务器 = “AllOf(Pattern('ResetAccountLockoutCounterAfter:[1][5-9]│[2-9]\d│[1-9]\d{2,}'), Pattern('AccountLockoutDuration:[1][5-9]│[2-9]\d│[1-9]\d{2,}'), Pattern('AccountLockoutThreshold:[1-3]'))” 工作组成员 = “AllOf(Pattern('ResetAccountLockoutCounterAfter:[1][5-9]│[2-9]\d│[1-9]\d{2,}'), Pattern('AccountLockoutDuration:[1][5-9]│[2-9]\d│[1-9]\d{2,}'), Pattern('AccountLockoutThreshold:[1-3]'))” |
| 设备锁定明文密码 (CCE-36286-3) |
控制名称:使用可逆加密存储密码 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/ClearTextPassword CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 设备锁定最大密码年龄 (CCE-37167-4) |
控件名称:最大密码期限 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/MaximumPasswordAge CSP 值类型:整数 |
危急 | 域控制器 = “范围 (1, 60)” 成员服务器 = “范围(1, 60)” 工作组成员 = “范围(1, 70)” |
| 设备锁定最小密码年龄 (CCE-37073-4) |
控件名称:最低密码期限 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/MinimumPasswordAge CSP 值类型:整数 |
危急 | 域控制器 = “范围 (1, )” 成员服务器 = “范围(1, )” 工作组成员 = “范围(1, )” |
| 设备锁定最小密码长度 (CCE-36534-6) |
控件名称:最小密码长度 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/MinimumPasswordLength CSP 值类型:整数 |
危急 | 成员服务器 = “范围(14, )” 工作组成员 = “范围(14, )” |
| 设备锁定密码复杂性 (CCE-37063-5) |
控件名称:密码必须满足复杂性要求 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/PasswordComplexity CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 设备锁定密码历史大小 (CCE-37166-6) |
控件名称:强制密码历史记录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DeviceLock/PasswordHistorySize CSP 值类型:整数 |
危急 | 域控制器 = “等于 (24)” 成员服务器 = “等于 (24)” 工作组成员 = “等于 (24)” |
| DeviceLockPreventEnablingLockScreenCamera (CCE-38347-1) |
控制名称:防止启用锁屏摄像头 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization 注册表值:NoLockScreenCamera 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 设备锁定防止锁定屏幕幻灯片 (CCE-38348-9) |
控件名称:防止启用锁屏幻灯片放映 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization 注册表值:NoLockScreenSlideshow 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DigitallyEncryptOrSignSecureChannelDataAlways (CCE-36142-8) |
控制名称:域成员:对安全通道数据进行数字加密或签名(始终) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters 注册表值:RequireSignOrSeal 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| DigitallyEncryptSecureChannelDataWhenPossible (CCE-37130-2) |
控制名称:域成员:对安全通道数据进行数字加密(如果可能) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters 注册表值:SealSecureChannel 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| DigitallySign通信始终客户端 (CCE-36325-9) |
控件名称:Microsoft 网络客户端:对通信进行数字签名(始终) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters 注册表值:RequireSecuritySignature 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DigitallySignCommunicationsAlways服务器 (CCE-37864-6) |
控件名称:Microsoft 网络服务器:对通信进行数字签名(始终) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:RequireSecuritySignature 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DigitallySignCommunicationsIfClientAgrees (CCE-35988-5) |
控件名称:Microsoft 网络服务器:对通信进行数字签名(如果客户端同意) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:EnableSecuritySignature 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DigitallySignCommunicationsIfServer同意 (CCE-36269-9) |
控件名称:Microsoft 网络客户端:对通信进行数字签名(如果服务器同意) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters 注册表值:EnableSecuritySignature 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DigitallySignSecureChannelDataWhenPossible (CCE-37222-7) |
控制名称:域成员:对安全通道数据进行数字签名(如果可能) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters 注册表值:SignSecureChannel 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| DisableLocalAccountPasswordChanges (CCE-37508-9) |
控制名称:域成员:禁用计算机帐户密码更改 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters 注册表值:DisablePasswordChange 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” |
| 禁用SMBv1客户端 (AZ-WIN-00122) |
控制名称:禁用 SMB v1 客户端(删除对 LanmanWorkstation 的依赖) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation 注册表值:DependOnService 注册表值类型:REG_MULTI_SZ |
危急 | 域控制器 = “ContainsAtMost('Bowser', 'MRxSmb20', 'NSI')” 成员服务器 = “ContainsAtMost('Bowser', 'MRxSmb20', 'NSI')” 工作组成员 = “ContainsAtMost('Bowser', 'MRxSmb20', 'NSI')” |
| DisconnectClientsWhen登录时间到期 (CCE-37972-7) |
控制名称:Microsoft 网络服务器:登录时间到期时断开客户端连接 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:EnableForcedLogOff 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DmaGuardDeviceEnumerationPolicy | 控件名称:与内核 DMA 保护不兼容的外部设备的枚举策略 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Kernel DMA Protection 注册表值:DeviceEnumerationPolicy 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/DmaGuard/DeviceEnumerationPolicy CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(1))” 成员服务器 = “OneOf(Equals(0), Equals(1))” 工作组成员 = “OneOf(Equals(0), Equals(1))” |
| DnsClientTurn_Off_Multicast (AZ-WIN-00145) |
控件名称:关闭多播名称解析 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient 注册表值:EnableMulticast 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| DODownloadMode (AZ-WIN-93259) |
控件名称:传递优化:下载模式方法 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization 注册表值:DODownloadMode 注册表值类型:REG_DWORD |
信息 | 域控制器 = “OneOf(Equals(0), Equals(1), Equals(2), Equals(99), Equals(100))” 成员服务器 = “OneOf(Equals(0), Equals(1), Equals(2), Equals(99), Equals(100))” 工作组成员 = “OneOf(Equals(0), Equals(1), Equals(2), Equals(99), Equals(100))” |
| DoNotAllowAnonymousEnumerationOfSAMAccounts (CCE-36316-8) |
控制名称:网络访问:不允许匿名枚举 SAM 帐户 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:RestrictAnonymousSAM 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| DoNotAllowAnonymousEnumerationOfSamAccountsAndShares (CCE-36077-6) |
控制名称:网络访问:不允许匿名枚举 SAM 帐户和共享 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:RestrictAnonymous 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DoNotDisplayLastSignedIn (CCE-36056-0) |
控件名称:交互式登录:不显示最后一个用户名 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:DontDisplayLastUserName 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| DoNotRequireCTRLALTDEL (CCE-37637-6) |
控件名称:交互式登录:不需要 CTRL+ALT+DEL 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:DisableCAD 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| EnableAuthEpResolution (CCE-37346-4) |
控件名称:启用 RPC 终结点映射器客户端身份验证 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Rpc 注册表值:EnableAuthEpResolution 注册表值类型:REG_DWORD |
危急 | 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 启用身份验证速率限制器 | 控件名称:启用身份验证速率限制器 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanServer 注册表值:EnableAuthRateLimiter 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| EnableAuthRateLimiterTimeout | 控制名称:启用身份验证速率限制器(延迟超时) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:InvalidAuthenticationDelayTimeInMs 注册表值类型:REG_DWORD |
信息 | 域控制器 = “范围 (2000, 5000)” 成员服务器 = “范围(2000, 5000)” 工作组成员 = “范围(2000, 5000)” |
| 启用NTPClient (CCE-37843-0) |
控件名称:启用 Windows NTP 客户端 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient 注册表值:已启用 注册表值类型:REG_DWORD |
危急 | 工作组成员 = “等于(1)” |
| EnableGuestAccount状态 (CCE-37432-2) |
控件名称:帐户:来宾帐户状态 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 启用邮件槽LanmanServer | 控制名称:启用远程邮件槽(Lanman Server) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Browser 注册表值:EnableMailslots 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 启用邮件槽LanmanWorkstation | 控制名称:启用远程邮件槽(Lanman Workstation) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider 注册表值:EnableMailslots 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| EnableStructuredExceptionHandlingOverwriteProtection (AZ-WIN-202210) |
控件名称:启用结构化异常处理覆盖保护 (SEHOP) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\kernel 注册表值:DisableExceptionChainValidation 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 加密NTFSPagingFile | 控件名称:系统策略 NtfsEncryptPagingFile 注册表项:HKLM:\SYSTEM\CurrentControlSet\Policies 注册表值:NtfsEncryptPagingFile 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| EventLogChannelSecurityLogRetention (CCE-37145-0) |
控件名称:安全性:日志文件达到其最大大小时的控制事件日志行为 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security 注册表值:保留 注册表值类型:REG_SZ |
危急 | 域控制器 = “OneOf(Equals('0'), Equals(null))” 成员服务器 = “OneOf(Equals('0'), Equals(null))” 工作组成员 = “OneOf(Equals('0'), Equals(null))” |
| 事件日志通道设置日志最大大小 (CCE-37526-1) |
控件名称:设置:指定最大日志文件大小 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup 注册表值:MaxSize 注册表值类型:REG_DWORD |
危急 | 域控制器 = “范围 (32768, )” 成员服务器 = “范围(32768, )” 工作组成员 = “范围(32768, )” |
| 事件日志通道设置日志保留 (CCE-38276-2) |
控件名称:设置:日志文件达到最大大小时的控制事件日志行为 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup 注册表值:保留 注册表值类型:REG_SZ |
危急 | 域控制器 = “OneOf(Equals('0'), Equals(null))” 成员服务器 = “OneOf(Equals('0'), Equals(null))” 工作组成员 = “OneOf(Equals('0'), Equals(null))” |
| EventLogChannelSystemLogRetention (CCE-36160-0) |
控件名称:系统:日志文件达到最大大小时的控制事件日志行为 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\System 注册表值:保留 注册表值类型:REG_SZ |
危急 | 域控制器 = “OneOf(Equals('0'), Equals(null))” 成员服务器 = “OneOf(Equals('0'), Equals(null))” 工作组成员 = “OneOf(Equals('0'), Equals(null))” |
| EventLogPercentageThresholdSecurityEventLogMaximumSize已到达 (亚利桑那州-赢-202212) |
控件名称:MSS:(WarningLevel) 系统将生成警告的安全事件日志的百分比阈值 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security 注册表值:WarningLevel 注册表值类型:REG_DWORD |
信息 | 域控制器 = “范围 (50, 90)” 成员服务器 = “范围(50, 90)” 工作组成员 = “范围(50, 90)” |
| 事件日志服务控制事件日志行为 (CCE-37775-4) |
控件名称:应用程序:日志文件达到最大大小时的控制事件日志行为 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application 注册表值:保留 注册表值类型:REG_SZ |
危急 | 域控制器 = “OneOf(Equals('0'), Equals(null))” 成员服务器 = “OneOf(Equals('0'), Equals(null))” 工作组成员 = “OneOf(Equals('0'), Equals(null))” |
| EventLogServiceSpecifyMaximumFileSizeApplicationLog (CCE-37948-7) |
控件名称:应用程序:指定最大日志文件大小 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application 注册表值:MaxSize 注册表值类型:REG_DWORD |
危急 | 域控制器 = “范围 (32768, )” 成员服务器 = “范围(32768, )” 工作组成员 = “范围(32768, )” |
| EventLogServiceSpecifyMaximumFileSizeSecurityLog (CCE-37695-4) |
控件名称:安全性:指定最大日志文件大小 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security 注册表值:MaxSize 注册表值类型:REG_DWORD |
危急 | 域控制器 = “范围(196608, )” 成员服务器 = “范围(196608, )” 工作组成员 = “范围(196608, )” |
| EventLogServiceSpecifyMaximumFileSize系统日志 (CCE-36092-5) |
控件名称:系统:指定最大日志文件大小 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\EventLog\System 注册表值:MaxSize 注册表值类型:REG_DWORD |
危急 | 域控制器 = “范围 (32768, )” 成员服务器 = “范围(32768, )” 工作组成员 = “范围(32768, )” |
| ExperienceAllowWindows消费者功能 (AZ-WIN-00144) |
控件名称:关闭 Microsoft 使用者体验 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent 注册表值:DisableWindowsConsumerFeatures 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Experience/AllowWindowsConsumerFeatures CSP 值类型:整数 |
警告 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| ExperienceDisableConsumerAccountState内容 (AZ-WIN-202217) |
控件名称:关闭云使用者帐户状态内容 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent 注册表值:DisableConsumerAccountStateContent 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Experience/DisableConsumerAccountStateContent CSP 值类型:整数 |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 体验不显示反馈通知 (AZ-WIN-00140) |
控件名称:不显示反馈通知 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection 注册表值:DoNotShowFeedbackNotifications 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| FileExplorerTurnOffHeapTerminationOnCorruption (CCE-36660-9) |
控件名称:在损坏时关闭堆终止 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer 注册表值:NoHeapTerminationOnCorruption 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| FirewallDomainProfileApplyLocalConnectionSecurityRules (CCE-38040-2) |
控件名称:Windows 防火墙:域:设置:应用本地连接安全规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:AllowLocalIPsecPolicyMerge 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| FirewallDomainProfileApplyLocalFirewallRules (CCE-37860-4) |
控制名称:Windows 防火墙:域:设置:应用本地防火墙规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:AllowLocalPolicyMerge 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” |
| FirewallDomainProfileDisplayNotification (CCE-38041-0) |
控件名称:Windows 防火墙:域:设置:显示通知 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:DisableNotifications 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| FirewallDomainProfileInboundConnection (AZ-WIN-202252) |
控制名称:Windows 防火墙:域:入站连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:DefaultInboundAction 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| FirewallDomainProfileLogDroppedPackets (AZ-WIN-202226) |
控制名称:Windows 防火墙:域:日志记录:记录丢弃的数据包 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging 注册表值:LogDroppedPackets 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| 防火墙域配置文件日志文件最大大小 (AZ-WIN-202225) |
控制名称:Windows 防火墙:域:日志记录:大小限制 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging 注册表值:LogFileSize 注册表值类型:REG_DWORD |
警告 | 域控制器 = “范围 (16384, )” 成员服务器 = “范围(16384, )” |
| FirewallDomainProfileLogFileName (AZ-WIN-202224) |
控制名称:Windows 防火墙:域:日志记录:名称 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging 注册表值:LogFilePath 注册表值类型:REG_SZ |
信息 | 域控制器 = “包含 ('.log')” 成员服务器 = “包含('.log')” |
| FirewallDomainProfileLogSuccessfulConnections (亚利桑那州-赢-202227) |
控制名称:Windows 防火墙:域:日志记录:记录成功连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging 注册表值:LogSuccessfulConnections 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| FirewallDomainProfileOutboundConnection (CCE-36146-9) |
控制名称:Windows 防火墙:域:出站连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:DefaultOutboundAction 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” |
| 防火墙域配置文件状态 (CCE-36062-8) |
控制名称:Windows 防火墙:域:防火墙状态 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:EnableFirewall 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| FirewallDomainProfileUnicastResponse (AZ-WIN-00088) |
控制名称:Windows 防火墙:域:允许单播响应 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 注册表值:DisableUnicastResponsesToMulticastBroadcast 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” |
| FirewallPrivateProfileApplyLocalConnectionSecurityRules (CCE-36063-6) |
控件名称:Windows 防火墙:专用:设置:应用本地连接安全规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:AllowLocalIPsecPolicyMerge 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| FirewallPrivateProfileApplyLocalFirewallRules (CCE-37438-9) |
控件名称:Windows 防火墙:专用:设置:应用本地防火墙规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:AllowLocalPolicyMerge 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙专用配置文件显示通知 (CCE-37621-0) |
控件名称:Windows 防火墙:专用:设置:显示通知 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:DisableNotifications 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙专用配置文件入站连接 (AZ-WIN-202228) |
控制名称:Windows 防火墙:专用:入站连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:DefaultInboundAction 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙PrivateProfileLogDroppedPackets (AZ-WIN-202231) |
控制名称:Windows 防火墙:专用:日志记录:记录丢弃的数据包 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging 注册表值:LogDroppedPackets 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙专用配置文件日志文件最大大小 (AZ-WIN-202230) |
控件名称:Windows 防火墙:专用:日志记录:大小限制 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging 注册表值:LogFileSize 注册表值类型:REG_DWORD |
警告 | 域控制器 = “范围 (16384, )” 成员服务器 = “范围(16384, )” 工作组成员 = “范围(16384, )” |
| 防火墙专用配置文件日志文件名 (AZ-WIN-202229) |
控件名称:Windows 防火墙:专用:日志记录:名称 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging 注册表值:LogFilePath 注册表值类型:REG_SZ |
信息 | 域控制器 = “包含 ('.log')” 成员服务器 = “包含('.log')” 工作组成员 = “包含('.log')” |
| 防火墙PrivateProfileLogSuccessfulConnections (AZ-WIN-202232) |
控件名称:Windows 防火墙:专用:日志记录:记录成功连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging 注册表值:LogSuccessfulConnections 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙专用配置文件出站连接 (CCE-38332-3) |
控制名称:Windows 防火墙:专用:出站连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:DefaultOutboundAction 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 防火墙专用配置文件状态 (CCE-38239-0) |
控件名称:Windows 防火墙:专用:防火墙状态 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:EnableFirewall 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙专用配置文件UnicastResponse (AZ-WIN-00089) |
控件名称:Windows 防火墙:专用:允许单播响应 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile 注册表值:DisableUnicastResponsesToMulticastBroadcast 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| FirewallPublicProfileApplyLocalConnectionSecurityRules (CCE-36268-1) |
控件名称:Windows 防火墙:公共:设置:应用本地连接安全规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:AllowLocalIPsecPolicyMerge 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| FirewallPublicProfileApplyLocalFirewallRules (CCE-37861-2) |
控件名称:Windows 防火墙:公共:设置:应用本地防火墙规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:AllowLocalPolicyMerge 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| FirewallPublicProfileDisplayNotification (CCE-38043-6) |
控件名称:Windows 防火墙:公共:设置:显示通知 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:DisableNotifications 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙公共配置文件入站连接 (AZ-WIN-202234) |
控制名称:Windows 防火墙:公共:入站连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:DefaultInboundAction 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| FirewallPublicProfileLogDroppedPackets (AZ-WIN-202237) |
控制名称:Windows 防火墙:公共:日志记录:记录丢弃的数据包 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging 注册表值:LogDroppedPackets 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙公共配置文件日志文件最大大小 (AZ-WIN-202236) |
控件名称:Windows 防火墙:公共:日志记录:大小限制 (KB) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging 注册表值:LogFileSize 注册表值类型:REG_DWORD |
信息 | 域控制器 = “范围 (16384, )” 成员服务器 = “范围(16384, )” 工作组成员 = “范围(16384, )” |
| 防火墙公共配置文件日志文件名 (AZ-WIN-202235) |
控件名称:Windows 防火墙:公共:日志记录:名称 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging 注册表值:LogFilePath 注册表值类型:REG_SZ |
信息 | 域控制器 = “包含 ('.log')” 成员服务器 = “包含('.log')” 工作组成员 = “包含('.log')” |
| 防火墙公共配置文件日志成功连接 (AZ-WIN-202233) |
控制名称:Windows 防火墙:公共:日志记录:记录成功的连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging 注册表值:LogSuccessfulConnections 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 防火墙公共配置文件出站连接 (CCE-37434-8) |
控制名称:Windows 防火墙:公共:出站连接 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:DefaultOutboundAction 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 防火墙公共配置文件状态 (CCE-37862-0) |
控件名称:Windows 防火墙:公共:防火墙状态 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:EnableFirewall 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| FirewallPublicProfileUnicastResponse (AZ-WIN-00090) |
控件名称:Windows 防火墙:公共:允许单播响应 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile 注册表值:DisableUnicastResponsesToMulticastBroadcast 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings (CCE-37850-5) |
控件名称:审核:强制审核策略子类别设置 (Windows Vista 或更高版本) 替代审核策略类别设置 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:SCENoApplyLegacyAuditPolicy 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| GroupPolicyDisableBackgroundPolicy (CCE-14437-8) |
控件名称:关闭组策略的后台刷新 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:DisableBkGndGroupPolicy 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” |
| GroupPolicyEnableCDP (AZ-WIN-00170) |
控件名称:在此设备上继续体验 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:EnableCdp 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| GroupPolicyNoBackgroundPolicy (CCE-36169-1) |
控制名称:配置注册表策略处理:在定期后台处理期间不应用 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2} 注册表值:NoBackgroundPolicy 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| GroupPolicyNoGPOListChanges (CCE-36169-1a) |
控件名称:配置注册表策略处理:即使组策略对象未更改也会处理 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2} 注册表值:NoGPOListChanges 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| ICMNC_ExitOnISP (CCE-37163-3) |
控件名称:如果 URL 连接引用 Microsoft.com,则关闭 Internet 连接向导 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard 注册表值:ExitOnMSICW 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 模拟客户端 (AZ-WIN-73785) |
控件名称:身份验证后模拟客户端 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ImpersonateClient CSP 值类型:字符串 |
重要 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-6', '*S-1-5-19', '*S-1-5-20')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-6', '*S-1-5-19', '*S-1-5-20')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-6', '*S-1-5-19', '*S-1-5-20')” |
| IPSourceRoutingProtectionLevel (AZ-WIN-202244) |
控制名称:MSS:(DisableIPSourceRouting)IP 源路由保护级别(防止数据包欺骗) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 注册表值:DisableIPSourceRouting 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (2)” 成员服务器 = “等于 (2)” 工作组成员 = “等于 (2)” |
| IPv6SourceRoutingProtectionLevel (AZ-WIN-202213) |
控制名称:MSS:(DisableIPSourceRouting IPv6)IP 源路由保护级别(防止数据包欺骗) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters 注册表值:DisableIPSourceRouting 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (2)” 成员服务器 = “等于 (2)” 工作组成员 = “等于 (2)” |
| KDCHash算法 | 控制名称:为证书登录 (KDC) 配置哈希算法 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters 注册表值:PKINITHashAlgorithmConfigurationEnabled 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| KDCHash算法SHA1 | 控件名称:为证书登录配置哈希算法 (KDC) - SHA1 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters 注册表值:PKINITSHA1 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| KDCHash算法SHA256 | 控件名称:为证书登录配置哈希算法 (KDC) - SHA256 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters 注册表值:PKINITSHA256 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| KDCHash算法SHA384 | 控件名称:为证书登录 (KDC) 配置哈希算法 - SHA384 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters 注册表值:PKINITSHA384 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| KDCHash算法SHA512 | 控件名称:为证书登录 (KDC) 配置哈希算法 - SHA512 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters 注册表值:PKINITSHA512 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| KerberosHash算法 | 控件名称:为证书登录配置哈希算法 (Kerberos) 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters 注册表值:PKINITHashAlgorithmConfigurationEnabled 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| KerberosHash算法SHA1 | 控件名称:为证书登录配置哈希算法 (Kerberos) - SHA1 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters 注册表值:PKINITSHA1 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| Kerberos哈希算法SHA256 | 控件名称:为证书登录配置哈希算法 (Kerberos) - SHA256 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters 注册表值:PKINITSHA256 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| Kerberos哈希算法SHA384 | 控件名称:为证书登录配置哈希算法 (Kerberos) - SHA384 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters 注册表值:PKINITSHA384 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| Kerberos哈希算法SHA512 | 控件名称:为证书登录配置哈希算法 (Kerberos) - SHA512 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters 注册表值:PKINITSHA512 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| LANManagerAuthenticationLevel (CCE-36173-3) |
控制名称:网络安全:LAN Manager 身份验证级别 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:LmCompatibilityLevel 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel CSP 值类型:整数 |
危急 | 域控制器 = “等于 (5)” 成员服务器 = “等于 (5)” 工作组成员 = “等于 (5)” |
| LanmanWorkstationEnableInsecureGuestLogens(LanmanWorkstationEnableInsecureGuestLogen) (AZ-WIN-00171) |
控件名称:启用不安全的来宾登录 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:AllowInsecureGuestAuth 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LanmanWorkstation/EnableInsecureGuestLogons CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| LDAPClientSigning要求 (CCE-36858-9) |
控制名称:网络安全:LDAP 客户端签名要求 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LDAP 注册表值:LDAPClientIntegrity 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements CSP 值类型:整数 |
危急 | 域控制器 = “范围 (1, 2)” 成员服务器 = “范围(1, 2)” 工作组成员 = “范围 (1, 2)” |
| LDAPServerChannelBindingToken要求 | 控制名称:域控制器:LDAP 服务器通道绑定令牌要求 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 注册表值:LdapEnforceChannelBinding 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (2)” |
| LDAPServerLDAPServerIntegritySigningRequirementsEnforcement | 控制名称:域控制器:LDAP 服务器签名要求强制实施 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 注册表值:LDAPServerEnforceIntegrity 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” |
| LetEveryonePermissionsApplyToAnonymousUsers (CCE-36148-5) |
控件名称:网络访问:允许所有人权限应用于匿名用户 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:EveryoneIncludesAnonymous 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly (CCE-37615-2) |
控件名称:帐户:将本地帐户使用空白密码限制为仅控制台登录 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:LimitBlankPasswordUse 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| 登录阻止用户从显示帐户详细信息登录 (AZ-WIN-00138) |
控件名称:阻止用户在登录时显示帐户详细信息 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:BlockUserFromShowingAccountDetailsOnSignin 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| LogonDontEnumerateConnectedUsers (AZ-WIN-202216) |
控件名称:不要枚举已加入域的计算机上的连接用户 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:DontEnumerateConnectedUsers 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| LSAPPL保护 | 控制名称:启用 LSA PPL 保护 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:RunAsPPL 注册表值类型:REG_DWORD |
危急 | 域控制器 = “范围 (1, 2)” 成员服务器 = “范围(1, 2)” 工作组成员 = “范围 (1, 2)” |
| 机器不活动限制 (AZ-WIN-73645) |
控件名称:交互式登录:计算机非活动限制 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:InactivityTimeoutSecs 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit CSP 值类型:整数 |
重要 | 域控制器 = “范围 (1, 900)” 成员服务器 = “范围(1, 900)” 工作组成员 = “范围(1, 900)” |
| 最大机器帐户密码年龄 (CCE-37431-4) |
控制名称:域成员:计算机帐户密码期限上限 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters 注册表值:MaximumPasswordAge 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge CSP 值类型:整数 |
危急 | 域控制器 = “等于 (30)” 成员服务器 = “等于 (30)” |
| 消息文本用户登录 (AZ-WIN-202253) |
控件名称:交互式登录:尝试登录的用户的消息文本 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:LegalNoticeText 注册表值类型:REG_SZ |
警告 | 域控制器 = “not(OneOf(Equals(''), Equals(null)))” 成员服务器 = “not(OneOf(Equals(''), Equals(null)))” 工作组成员 = “not(OneOf(Equals(''), Equals(null)))” |
| MessageTextUser登录标题 (AZ-WIN-20225) |
控件名称:交互式登录:尝试登录的用户的消息标题 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值: LegalNoticeCaption 注册表值类型:REG_SZ |
警告 | 域控制器 = “not(OneOf(Equals(''), Equals(null)))” 成员服务器 = “not(OneOf(Equals(''), Equals(null)))” 工作组成员 = “not(OneOf(Equals(''), Equals(null)))” |
| 最小会话安全 NTLMSSPBased客户端 (CCE-37553-5) |
控件名称:网络安全:基于 NTLM SSP (包括安全 RPC) 客户端的最低会话安全性 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 注册表值:NTLMMinClientSec 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients CSP 值类型:整数 |
危急 | 域控制器 = “等于 (537395200)” 成员服务器 = “等于 (537395200)” 工作组成员 = “等于 (537395200)” |
| 最小会话安全 NTLMSSPBased服务器 (CCE-37835-6) |
控件名称:网络安全:基于 NTLM SSP (包括安全 RPC) 服务器的最低会话安全性 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 注册表值:NTLMMinServerSec 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers CSP 值类型:整数 |
危急 | 域控制器 = “等于 (537395200)” 成员服务器 = “等于 (537395200)” 工作组成员 = “等于 (537395200)” |
| 最小SMBClientVersion | 控件名称:强制使用 SMB 客户端的最低版本 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:MinSmb2Dialect 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(768),Equals(770),Equals(785))” 成员服务器 = “OneOf(Equals(768),Equals(770),Equals(785))” 工作组成员 = “OneOf(Equals(768),Equals(770),Equals(785))” |
| 最小SMBServer版本 | 控制名称:强制使用 SMB 服务器的最低版本 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanServer 注册表值:MinSmb2Dialect 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(768),Equals(770),Equals(785))” 成员服务器 = “OneOf(Equals(768),Equals(770),Equals(785))” 工作组成员 = “OneOf(Equals(768),Equals(770),Equals(785))” |
| 缓解选项字体阻塞 | 控件名称:WindowsNT MitigationOptions MitigationOptions FontBocking 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions 注册表值:MitigationOptions_FontBocking 注册表值类型:REG_SZ |
危急 | 域控制器 = “等于 ('1000000000000')” 成员服务器 = “等于('1000000000000')” 工作组成员 = “等于('1000000000000')” |
| NetBTNodeType配置 (AZ-WIN-202211) |
控件名称:NetBT NodeType 配置 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters 注册表值:NodeType 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (2)” 成员服务器 = “等于 (2)” |
| NetworkConnectionsNC_ShowSharedAccessUI (AZ-WIN-00172) |
控制名称:禁止在 DNS 域网络上使用 Internet 连接共享 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Network Connections 注册表值:NC_ShowSharedAccessUI 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| NetworkProviderHardenedPathsNETLOGON (AZ-WIN-202250) |
控件名称:强化 UNC 路径 - NETLOGON 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths 注册表值:\*\NETLOGON 注册表值类型:REG_SZ |
警告 | 域控制器 = “OneOf(Equals('RequireMutualAuthentication=1, RequireIntegrity=1') ,Equals('RequireMutualAuthentication=1, RequireIntegrity=1, RequirePrivacy=1')))” 成员服务器 = “OneOf(Equals('RequireMutualAuthentication=1, RequireIntegrity=1') ,Equals('RequireMutualAuthentication=1, RequireIntegrity=1, RequirePrivacy=1')))” |
| NetworkProviderHardenedPathsSYSVOL (AZ-WIN-202251) |
控件名称:强化 UNC 路径 - SYSVOL 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths 注册表值:\*\SYSVOL 注册表值类型:REG_SZ |
警告 | 域控制器 = “OneOf(Equals('RequireMutualAuthentication=1, RequireIntegrity=1'), Equals('RequireMutualAuthentication=1, RequireIntegrity=1, RequirePrivacy=1'))” 成员服务器 = “OneOf(Equals('RequireMutualAuthentication=1, RequireIntegrity=1'), Equals('RequireMutualAuthentication=1, RequireIntegrity=1, RequirePrivacy=1'))” |
| NetworkSecurityForceLogoffWhen登录小时到期 | 控制名称:网络安全:登录时间到期时强制注销 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire CSP 值类型:整数 |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations (CCE-37057-7) |
控件名称:用户帐户控制:仅提升安装在安全位置的 UIAccess 应用程序 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:EnableSecureUIAPaths 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| OverrideMinimumEnabledDTLSVersionClient | 控件名称:覆盖已启用的最低 DTLS 版本客户端 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Cryptography/OverrideMinimumEnabledDTLSVersionClient CSP 值类型:字符串 |
重要 | 域控制器 = “等于 ('1.2')” 成员服务器 = “等于('1.2')” 工作组成员 = “等于('1.2')” |
| OverrideMinimumEnabledDTLSVersionServer | 控件名称:覆盖已启用的最低 DTLS 版本服务器 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Cryptography/OverrideMinimumEnabledDTLSVersionServer CSP 值类型:字符串 |
危急 | 域控制器 = “等于 ('1.2')” 成员服务器 = “等于('1.2')” 工作组成员 = “等于('1.2')” |
| OverrideMinimumEnabledTLSVersionClient | 控件名称:覆盖启用的最低 TLS 版本客户端 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Cryptography/OverrideMinimumEnabledTLSVersionClient CSP 值类型:字符串 |
危急 | 域控制器 = “OneOf(Equals('1.2'),Equals('1.3'))” 成员服务器 = “OneOf(Equals('1.2'),Equals('1.3'))” 工作组成员 = “OneOf(Equals('1.2'),Equals('1.3'))” |
| OverrideMinimumEnabledTLSVersionServer | 控件名称:覆盖已启用的最低 TLS 版本服务器 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Cryptography/OverrideMinimumEnabledTLSVersionServer CSP 值类型:字符串 |
危急 | 域控制器 = “OneOf(Equals('1.2'),Equals('1.3'))” 成员服务器 = “OneOf(Equals('1.2'),Equals('1.3'))” 工作组成员 = “OneOf(Equals('1.2'),Equals('1.3'))” |
| PowerShellExecutionPolicyEnableTranscripting (AZ-WIN-202208) |
控件名称:打开 PowerShell 听录 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription 注册表值:EnableTranscripting 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 防止用户安装打印机驱动程序时连接到共享打印机 (CCE-37942-0) |
控件名称:设备:阻止用户安装打印机驱动程序 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers 注册表值:AddPrinterDrivers 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters CSP 值类型:整数 |
警告 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| 打印机RestrictDriverInstallationToAdministrators (AZ-WIN-202202) |
控件名称:将打印驱动程序安装限制为管理员 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint 注册表值:RestrictDriverInstallationToAdministrators 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 隐私允许输入个性化 (AZ-WIN-00168) |
控件名称:允许输入个性化 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\InputPersonalization 注册表值:AllowInputPersonalization 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/Privacy/AllowInputPersonalization CSP 值类型:整数 |
警告 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| PromptUserToChangePasswordBeforeExpiration (CCE-10930-6) |
控件名称:交互式登录:在过期前提示用户更改密码 注册表项:HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon 注册表值:PasswordExpiryWarning 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration CSP 值类型:整数 |
信息 | 域控制器 = “范围 (5, 14)” 成员服务器 = “范围(5, 14)” 工作组成员 = “范围(5, 14)” |
| RDP文件编号 (AZ-WIN-00156) |
控制名称:检测默认 RDP 端口的更改 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 注册表值:PortNumber 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (3389)” 成员服务器 = “等于 (3389)” 工作组成员 = “等于 (3389)” |
| RecoveryConsoleAllowFloppyCopyAndAllDrives (AZ-WIN-00148) |
控制名称:恢复控制台:允许软盘复制和访问所有驱动器和所有文件夹 注册表项:HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole 注册表值:SetCommand 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders CSP 值类型:整数 |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 拒绝机器帐户密码已更改 | 控制名称:域控制器:拒绝计算机帐户密码更改 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 注册表值:RefusePasswordChange 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” |
| RemoteAssistance请求RemoteAssistance (CCE-37281-3) |
控制名称:配置请求的远程协助 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:fAllowToGetHelp 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| 远程协助未经请求远程协助 (CCE-36388-7) |
控件名称:配置产品/服务远程协助 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:fAllowUnsolicited 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| RemoteDesktopServicesClientConnectionEncryptionLevel (CCE-36627-8) |
控制名称:设置客户端连接加密级别 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:MinEncryptionLevel 注册表值类型:REG_DWORD |
危急 | 域控制器 = “范围 (3,4)” 成员服务器 = “范围(3,4)” 工作组成员 = “范围(3,4)” |
| RemoteDesktopServicesDoNotAllowDrive重定向 (AZ-WIN-73569) |
控件名称:不允许驱动器重定向 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:fDisableCdm 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| RemoteDesktopServicesDoNotAllowPassword保存 (CCE-36223-6) |
控制名称:不允许保存密码 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:DisablePasswordSaving 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| RemoteDesktopServicesPromptForPasswordUponConnection (CCE-37929-7) |
控制名称:连接时始终提示输入密码 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:fPromptForPassword 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| RemoteDesktopServicesRequireSecureRPC通信 (CCE-37567-5) |
控件名称:需要安全的 RPC 通信 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:fEncryptRPCTraffic 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 远程访问注册表路径 (CCE-37194-8) |
控件名称:网络访问:远程访问的注册表路径 注册表项:HKLM:\SYSTEM\CurrentControlSet\SecurePipeServers\WinReg\AllowedExactPaths 注册表值:计算机 注册表值类型:REG_MULTI_SZ CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths CSP 值类型:MultiString |
危急 | 域控制器 = “OneOf(Equals('System\CurrentControlSet\Control \ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion'), Equals(''))” 成员服务器 = “OneOf(Equals('System\CurrentControlSet\Control \ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion'), Equals(''))” 工作组成员 = “OneOf(Equals('System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control \Server Applications,Software\Microsoft\Windows NT\CurrentVersion'), Equals(''))” |
| 远程访问注册表路径和子路径 (CCE-36347-3) |
控件名称:网络访问:远程访问的注册表路径和子路径 注册表项:HKLM:\SYSTEM\CurrentControlSet\SecurePipeServers\WinReg\AllowedPaths 注册表值:计算机 注册表值类型:REG_MULTI_SZ CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths CSP 值类型:MultiString |
危急 | 域控制器 = “OneOf(Equals('System\CurrentControlSet\Control\Print\Printers,System \CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control \Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog'), equals(''))” 成员服务器 = “OneOf(Equals('System\CurrentControlSet\Control\Print\Printers,System \CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control \Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog'), equals(''))” 工作组成员 = “OneOf(Equals('System\CurrentControlSet\Control\Print\Printers,System \CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control \ContentIndex,System\CurrentControlSet\Control\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog'), Equals(''))” |
| RemoteManagementAllowBasicAuthentication_Client (CCE-36254-1) |
控件名称:远程管理 (WinRM) 允许基本身份验证 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client 注册表值:AllowBasic 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| RemoteManagementAllowBasicAuthentication_Service (AZ-WIN-73599) |
控件名称:远程管理 (WinRM) 允许基本身份验证 - 服务 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service 注册表值:AllowBasic 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| RemoteManagementAllowRemoteServerManagement | 控件名称:允许通过 WinRM 进行远程服务器管理 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service 注册表值:AllowAutoConfig 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| RemoteManagementAllowRemoteServerManagement_IPv4Filter | 控制名称:允许通过 WinRM-IPv4Filter 远程服务器管理 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service 注册表值:IPv4Filter 注册表值类型:REG_SZ |
信息 | 域控制器 = “ContainsAtLeast('')” 成员服务器 = “ContainsAtLeast('')” 工作组成员 = “ContainsAtLeast('*')” |
| RemoteManagementAllowRemoteServerManagement_IPv6Filter | 控制名称:允许通过 WinRM-IPv6Filter 远程服务器管理 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service 注册表值:IPv6Filter 注册表值类型:REG_SZ |
信息 | 域控制器 = “ContainsAtLeast('')” 成员服务器 = “ContainsAtLeast('')” 工作组成员 = “ContainsAtLeast('*')” |
| RemoteManagementAllowUnencryptedTraffic_Client (CCE-38223-4) |
控件名称:远程管理 (WinRM) 允许未加密的流量 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client 注册表值:AllowUnencryptedTraffic 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| RemoteManagementAllowUnencryptedTraffic_Service (AZ-WIN-73601) |
控制名称:远程管理 (WinRM) 允许未加密的流量 - 服务 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service 注册表值:AllowUnencryptedTraffic 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| RemoteManagementDisallowDigestAuthentication (CCE-38318-2) |
控件名称:远程管理 (WinRM) 不允许摘要式身份验证 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client 注册表值:AllowDigest 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (0)” 成员服务器 = “等于 (0)” 工作组成员 = “等于 (0)” |
| RemoteManagementDisallowStoringOfRunAsCredentials (CCE-36000-8) |
控件名称:远程管理 (WinRM) 禁止 WinRM 存储运行时凭据 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service 注册表值:DisableRunAs 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| RemoteProcedureCallRestrictUnauthenticatedRPCClients (AZ-WIN-73541) |
控件名称:限制未经身份验证的 RPC 客户端 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Rpc 注册表值:RestrictRemoteClients 注册表值类型:REG_DWORD |
危急 | 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 重命名管理员帐户 (CCE-10976-9) |
控件名称:帐户:重命名管理员帐户 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount CSP 值类型:字符串 |
警告 | 域控制器 = “not(Equals('Administrator'))” 成员服务器 = “not(Equals('Administrator'))” 工作组成员 = “not(equals('administrator'))” |
| 重命名GuestAccount (AZ-WIN-202255) |
控件名称:帐户:重命名来宾帐户 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount CSP 值类型:字符串 |
警告 | 域控制器 = “not(Equals('Guest'))” 成员服务器 = “not(Equals('Guest'))” 工作组成员 = “not(equals('guest'))” |
| RequireCaseInsensitivityForNonWindowsSubsystems (CCE-37885-1) |
控件名称:系统对象:非 Windows 子系统需要不区分大小写 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel 注册表值:ObCaseInsensitive 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems CSP 值类型:整数 |
警告 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| 需要加密 | 控件名称:需要加密 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation 注册表值:RequireEncryption 注册表值类型:REG_DWORD |
警告 | 域控制器 = “范围 (0, 1)” 成员服务器 = “范围(0, 1)” 工作组成员 = “范围(0, 1)” |
| RequireStrongSessionKey (CCE-37614-5) |
控制名称:域成员:需要强(Windows 2000 或更高版本)会话密钥 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 注册表值:RequireStrongKey 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| RestrictAnonymousAccessToNamedPipesAndShares (CCE-36021-4) |
控件名称:网络访问:限制对命名管道和共享的匿名访问 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:RestrictNullSessAccess 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(1), Equals(null))” 成员服务器 = “OneOf(Equals(1), Equals(null))” 工作组成员 = “OneOf(Equals(1), Equals(null))” |
| RestrictClientsAllowedToMakeRemoteCallsToSAM (AZ-WIN-00142) |
控制名称:网络访问:限制允许客户端对 SAM 进行远程调用 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:RestrictRemoteSAM 注册表值类型:REG_SZ CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM CSP 值类型:字符串 |
危急 | 成员服务器 = “OneOf(Equals('O:BAG:BAD:(A;;钢筋混凝土;;;BA)')、等于(''))” 工作组成员 = “OneOf(Equals('O:BAG:BAD:(A;;钢筋混凝土;;;BA)')、等于(''))” |
| RSS可识别外壳下载 (CCE-37126-0) |
控制名称:防止下载机柜 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds 注册表值:DisableEnclosureDownload 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| RunAllAdministratorsInAdminApprovalMode (CCE-36869-6) |
控件名称:用户帐户控制:在管理员审批模式下运行所有管理员 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:EnableLUA 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| SafeDll搜索模式 (AZ-WIN-202215) |
控件名称:MSS:(SafeDllSearchMode) 启用安全 DLL 搜索模式(推荐) 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager 注册表值:SafeDllSearchMode 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| SAMRPCPasswordChangePolicy | 控制名称:配置 SAM 更改密码 RPC 方法策略 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\SAM 注册表值:SamrChangeUserPasswordApiPolicy 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (2)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| SearchAllowIndexingEncryptedStoresOrItems (CCE-38277-0) |
控件名称:允许对加密文件进行索引 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search 注册表值:AllowIndexingEncryptedStoresOrItems 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| SendUnencryptedPasswordToThirdPartySMBServers (CCE-37863-8) |
控件名称:Microsoft 网络客户端:将未加密的密码发送到第三方 SMB 服务器 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters 注册表值:EnablePlainTextPassword 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| ServerSPNTargetNameValidationLevel (CCE-10617-9) |
控件名称:Microsoft 网络服务器:服务器 SPN 目标名称验证级别 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:SmbServerNameHardeningLevel 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel CSP 值类型:整数 |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” |
| SharesThatCanBeAccessed匿名 (CCE-38095-6) |
控制名称:网络访问:可以匿名访问的共享 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 注册表值:NullSessionShares 注册表值类型:REG_MULTI_SZ CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously CSP 值类型:MultiString |
危急 | 域控制器 = “OneOf(Equals(''), Equals(null))” 成员服务器 = “OneOf(Equals(''), Equals(null))” 工作组成员 = “OneOf(Equals(''), Equals(null))” |
| SharingAndSecurityModelForLocalAccounts (CCE-37623-6) |
控制名称:网络访问:本地帐户的共享和安全模型 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:ForceGuest 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| ShellDataExecutionPrevention (CCE-37809-1) |
控件名称:关闭资源管理器的数据执行防护 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer 注册表值:NoDataExecutionPrevention 注册表值类型:REG_DWORD |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| ShutdownSystemImmediatelyIfUnableToLogSecurityAudits (CCE-35907-5) |
控制名称:审核:如果无法记录安全审核,请立即关闭系统 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Lsa 注册表值:CrashOnAuditFail 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits CSP 值类型:整数 |
危急 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| SmartCardRemovalBehavior (AZ-WIN-73807) |
控件名称:交互式登录:智能卡删除行为 注册表项:HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 注册表值:ScRemoveOption 注册表值类型:REG_SZ CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior CSP 值类型:字符串 |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| SmartScreenEnableSmartScreenInShell (CCE-35859-8) |
控件名称:配置 Windows Defender SmartScreen 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:EnableSmartScreen 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| SmartScreenPreventOverrideForFilesInShell | 控件名称:配置 Windows Defender SmartScreen - 警告和防止绕过 (已添加) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:ShellSmartScreenLevel 注册表值类型:REG_SZ |
重要 | 域控制器 = “等于 ('块')” 成员服务器 = “Equals('block')” 工作组成员 = “等于('块')” |
| 加强 DefaultPermissionsOfInternalSystemObjects (CCE-37644-2) |
控制名称:系统对象:加强内部系统对象(例如符号链接)的默认权限 注册表项:HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager 注册表值:ProtectionMode 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 切换到TheSecureDesktopWhenPromptingForElevation (CCE-36866-2) |
控件名称:用户帐户控制:提示提升时切换到安全桌面 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:PromptOnSecureDesktop 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| SystemAllowTelemetry (AZ-WIN-00169) |
控件名称:允许诊断数据 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection 注册表值:AllowTelemetry 注册表值类型:REG_DWORD |
警告 | 域控制器 = “范围 (0, 1)” 成员服务器 = “范围(0, 1)” 工作组成员 = “范围(0, 1)” |
| SystemBootStartDriver初始化 (CCE-37912-3) |
控件名称:Boot-Start 驱动程序初始化策略 注册表项:HKLM:\SYSTEM\CurrentControlSet\Policies\EarlyLaunch 注册表值:DriverLoadPolicy 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(8),Equals(1),Equals(3),Equals(null))” 成员服务器 = “OneOf(Equals(8),Equals(1),Equals(3),Equals(null))” 工作组成员 = “OneOf(Equals(8),Equals(1),Equals(3),Equals(null))” |
| SystemEnableSoftware限制策略 (AZ-WIN-00155) |
控件名称:系统设置:将 Windows 可执行文件上的证书规则用于软件限制策略 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 注册表值:AuthenticodeEnabled 注册表值类型:REG_DWORD |
警告 | 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 系统登录缓存大小 (AZ-WIN-73651) |
控件名称:交互式登录:要缓存的先前登录数(如果域控制器不可用) 注册表项:HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 注册表值:CachedLogonsCount 注册表值类型:REG_SZ |
信息 | 成员服务器 = “范围(0, 4)” |
| 系统最小化互联网连接 (CCE-38338-0) |
控件名称:尽量减少与 Internet 或 Windows 域的同时连接数 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy 注册表值:fMinimizeConnections 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (3)” 成员服务器 = “等于 (3)” 工作组成员 = “等于(3)” |
| 系统Windows搜索服务 (AZ-WIN-00176) |
控件名称:禁用 Windows 搜索服务 注册表项:HKLM:\SYSTEM\CurrentControlSet\Services\Wsearch 注册表值:开始 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (4)” 成员服务器 = “等于 (4)” 工作组成员 = “等于(4)” |
| TerminalServerTS_TEMP_DELETE (CCE-37946-1) |
控件名称:退出时不删除临时文件夹 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:DeleteTempDirsOnExit 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| TerminalServerTS_TEMP_PER_SESSION (CCE-38180-6) |
控件名称:不要在每个会话中使用临时文件夹 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:PerSessionTempDir 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| TerminalServerTS_USER_AUTHENTICATION_POLICY (AZ-WIN-00149) |
控制名称:使用网络级身份验证要求远程连接进行用户身份验证 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 注册表值:UserAuthentication 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| TurnOff_Windows_Error_Reporting (亚利桑那州-WIN-73543) |
控件名称:关闭库存收集器 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\AppCompat 注册表值:DisableInventory 注册表值类型:REG_DWORD |
信息 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 关闭打印通过 HTTP (AZ-WIN-73529) |
控件名称:关闭通过 HTTP 打印 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers 注册表值:DisableHTTPPrinting 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| 使用管理员批准模式 (CCE-36494-3) |
控件名称:用户帐户控制:内置管理员帐户的管理员审批模式 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:FilterAdministratorToken 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| UserRightsAccessCredentialManagerAsTrustedCaller (CCE-37056-9) |
控制名称:以受信任的调用方身份访问凭据管理器 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/AccessCredentialManagerAsTrustedCaller CSP 值类型:字符串 |
警告 | 域控制器 = “等于 ('')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| 用户权限从网络访问 (CCE-35818-4) |
控制名称:从网络访问此计算机 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/AccessFromNetwork CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-11', '*S-1-5-9')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-11')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-11')” |
| 用户权限ActAsPartOfTheOperatingSystem (CCE-36876-1) |
控件名称:充当作系统的一部分 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ActAsPartOfTheOperatingSystem CSP 值类型:字符串 |
危急 | 域控制器 = “等于 ('')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| UserRightsAdjustMemoryQuotasForProcess (CCE-10849-8) |
控件名称:调整进程的内存配额 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/AdjustMemoryQuotasForProcess CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19', '*S-1-5-20')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19', '*S-1-5-20')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19', '*S-1-5-20')” |
| 用户权限允许本地登录 (CCE-37659-0) |
控件名称:允许本地登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/AllowLocalLogOn CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-9')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544')” |
| 用户权限允许登录通过远程桌面 (CCE-37072-6) |
控件名称:允许通过远程桌面服务登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/AllowLogOnThroughRemoteDesktop CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-555')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-555')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-555')” |
| 用户权限备份文件和目录 (CCE-35912-5) |
控件名称:备份文件和目录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/BackupFilesAndDirectories CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限绕过遍历检查 (AZ-WIN-00184) |
控制名称:旁路遍历检查 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/BypassTraverseChecking CSP 值类型:字符串 |
危急 | 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-11', '*S-1-5-32-551', '*S-1-5-19', '*S-1-5-20')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-11', '*S-1-5-32-551', '*S-1-5-19', '*S-1-5-20')” |
| 用户权限更改系统时间 (CCE-37452-0) |
控制名称:更改系统时间 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ChangeSystemTime CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-549', '*S-1-5-19')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-549', '*S-1-5-19')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-549', '*S-1-5-19')” |
| 用户权限更改时区 (CCE-37700-2) |
控件名称:更改时区 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ChangeTimeZone CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19')” |
| 用户权限创建全局对象 (CCE-37453-8) |
控件名称:创建全局对象 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/CreateGlobalObjects CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-6', '*S-1-5-19', '*S-1-5-20')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-6', '*S-1-5-19', '*S-1-5-20')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-6', '*S-1-5-19', '*S-1-5-20')” |
| 用户权限创建页面文件 (CCE-35821-8) |
控件名称:创建页面文件 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/CreatePageFile CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限创建永久共享对象 (CCE-36532-0) |
控件名称:创建永久共享对象 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/CreatePermanentSharedObjects CSP 值类型:字符串 |
警告 | 域控制器 = “等于 ('')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| 用户权限创建符号链接 (CCE-35823-4) |
控件名称:创建符号链接 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/CreateSymbolicLinks CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-83-0')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-83-0')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-83-0')” |
| 用户权限创建令牌 (CCE-36861-3) |
控件名称:创建令牌对象 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/CreateToken CSP 值类型:字符串 |
警告 | 域控制器 = “等于 ('')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| 用户权限调试程序 (AZ-WIN-73755) |
控件名称:调试程序 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/DebugPrograms CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限拒绝从网络访问 (CCE-37954-5) |
控制名称:拒绝从网络访问此计算机 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/DenyAccessFromNetwork CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtLeast('*S-1-5-32-546')” 成员服务器 = “ContainsAtLeast('*S-1-5-32-546')” 工作组成员 = “ContainsAtLeast('*S-1-5-32-546')” |
| 用户权限拒绝本地登录 (CCE-37146-8) |
控件名称:拒绝本地登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/DenyLocalLogOn CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtLeast('*S-1-5-32-546')” 成员服务器 = “ContainsAtLeast('*S-1-5-32-546')” 工作组成员 = “ContainsAtLeast('*S-1-5-32-546')” |
| 用户权限DenyLogOnAsBatchJob (CCE-36923-1) |
控件名称:拒绝以批处理作业身份登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/DenyLogOnAsBatchJob CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtLeast('*S-1-5-32-546')” 成员服务器 = “ContainsAtLeast('*S-1-5-32-546')” 工作组成员 = “ContainsAtLeast('*S-1-5-32-546')” |
| 用户权限DenyLogOnAsService (CCE-36877-9) |
控件名称:拒绝以服务形式登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/DenyLogOnAsService CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtLeast('*S-1-5-32-546')” 成员服务器 = “ContainsAtLeast('*S-1-5-32-546')” 工作组成员 = “ContainsAtLeast('*S-1-5-32-546')” |
| 用户权限拒绝远程桌面服务登录 (CCE-36867-0) |
控件名称:拒绝通过远程桌面服务登录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/DenyRemoteDesktopServicesLogOn CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtLeast('*S-1-5-32-546')” 成员服务器 = “ContainsAtLeast('*S-1-5-32-546')” 工作组成员 = “ContainsAtLeast('*S-1-5-32-546')” |
| UserRightsEnable委派 (CCE-36860-5) |
控件名称:使计算机和用户帐户能够受信任以进行委派 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/EnableDelegation CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| 用户权限生成安全审计 (CCE-37639-2) |
控件名称:生成安全审核 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/GenerateSecurityAudits CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsAtMost('*S-1-5-19', '*S-1-5-20', '*S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415')” 成员服务器 = “ContainsAtMost('*S-1-5-19', '*S-1-5-20', '*S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415')” 工作组成员 = “ContainsAtMost('*S-1-5-19', '*S-1-5-20', '*S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415')” |
| UserRightsIncreaseProcessWorkingSet (AZ-WIN-00185) |
控件名称:增加流程工作集 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/IncreaseProcessWorkingSet CSP 值类型:字符串 |
警告 | 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-19')” |
| UserRightsIncreaseSchedulingPriority (CCE-38326-6) |
控制名称:增加计划优先级 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/IncreaseSchedulingPriority CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-90-0')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-90-0')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-90-0')” |
| 用户权限加载卸载设备驱动程序 (CCE-36318-4) |
控件名称:加载和卸载设备驱动程序 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/LoadUnloadDeviceDrivers CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-32-550')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544')” |
| 用户权限锁定内存 (CCE-36495-0) |
控件名称:锁定内存中的页面 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/LockMemory CSP 值类型:字符串 |
警告 | 域控制器 = “等于 ('')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| 用户权限管理审计和安全日志 (CCE-35906-7) |
控制名称:管理审核和安全日志 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ManageAuditingAndSecurityLog CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限管理卷 (CCE-36143-6) |
控制名称:执行卷维护任务 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ManageVolume CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限修改固件环境 (CCE-38113-7) |
控制名称:修改固件环境值 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ModifyFirmwareEnvironment CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限修改对象标签 (CCE-36054-5) |
控件名称:修改对象标签 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ModifyObjectLabel CSP 值类型:字符串 |
警告 | 域控制器 = “等于 ('')” 成员服务器 = “等于('')” 工作组成员 = “等于('')” |
| 用户权限配置文件单一进程 (CCE-37131-0) |
控件名称:配置文件单进程 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ProfileSingleProcess CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限配置文件系统性能 (CCE-36052-9) |
控制名称:配置文件系统性能 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ProfileSystemPerformance CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420')” 成员服务器 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420')” 工作组成员 = “ContainsAtMost('*S-1-5-32-544', '*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420')” |
| 用户权限远程关机 (CCE-37877-8) |
控制名称:从远程系统强制关闭 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/RemoteShutdown CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限替换进程级别令牌 (CCE-37430-6) |
控件名称:替换进程级别令牌 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ReplaceProcessLevelToken CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsAtMost('*S-1-5-19', '*S-1-5-20')” 成员服务器 = “ContainsAtMost('*S-1-5-19', '*S-1-5-20')” 工作组成员 = “ContainsAtMost('*S-1-5-19', '*S-1-5-20')” |
| 用户权限恢复文件和目录 (CCE-37613-7) |
控件名称:还原文件和目录 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/RestoreFilesAndDirectories CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限关闭系统 (CCE-38328-1) |
控制名称:关闭系统 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/ShutDownTheSystem CSP 值类型:字符串 |
警告 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| 用户权限获取所有权 (CCE-38325-7) |
控件名称:获取文件或其他对象的所有权 CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/UserRights/TakeOwnership CSP 值类型:字符串 |
危急 | 域控制器 = “ContainsExactly('*S-1-5-32-544')” 成员服务器 = “ContainsExactly('*S-1-5-32-544')” 工作组成员 = “ContainsExactly('*S-1-5-32-544')” |
| VirtualizeFileAndRegistryWriteFailuresToPerUserLocations (CCE-37064-3) |
控件名称:用户帐户控制:将文件和注册表写入失败虚拟化到每用户位置 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:EnableVirtualization 注册表值类型:REG_DWORD CSP 名称:./Vendor/MSFT/Policy CSP 路径:Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations CSP 值类型:整数 |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| WindowsExplorerShellProtocolProtectedModeTitle_2 (CCE-36809-2) |
控件名称:关闭 shell 协议保护模式 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 注册表值:PreXPSP2ShellProtocolBehavior 注册表值类型:REG_DWORD |
警告 | 域控制器 = “OneOf(Equals(0), Equals(null))” 成员服务器 = “OneOf(Equals(0), Equals(null))” 工作组成员 = “OneOf(Equals(0), Equals(null))” |
| WindowsHello反欺骗 | 控件名称:配置增强型反欺骗 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Biometrics\FacialFeatures 注册表值: EnhancedAntiSpoofing 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| Windows登录允许自动重新启动登录 (CCE-36977-7) |
控件名称:系统启动的重启后自动登录的最后一个交互用户 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:DisableAutomaticRestartSignOn 注册表值类型:REG_DWORD |
危急 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| Windows登录配置自动重新启动登录 | 控件名称:重启后自动登录并锁定最后一个交互式用户 注册表项:HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 注册表值:AutomaticRestartSignOnConfig 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| Windows登录禁用锁屏应用通知 (CCE-35893-7) |
控件名称:关闭锁定屏幕上的应用程序通知 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:DisableLockScreenAppNotifications 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| WindowsLogonDontDisplayNetworkSelectionUI (CCE-38353-9) |
控件名称:不显示网络选择 UI 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:DontDisplayNetworkSelectionUI 注册表值类型:REG_DWORD |
警告 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| WindowsLogonEnumerateLocalUsersOnDomainJoinedComputers (AZ-WIN-202204) |
控件名称:枚举已加入域的计算机上的本地用户 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\System 注册表值:EnumerateLocalUsers 注册表值类型:REG_DWORD |
警告 | 成员服务器 = “等于 (0)” |
| WindowsPowerShellTurnOnPowerShellScriptBlockLogging (AZ-WIN-73591) |
控件名称:启用 PowerShell 脚本块日志记录 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging 注册表值:EnableScriptBlockLogging 注册表值类型:REG_DWORD |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| WinVerityTrustSignatureValidationVulnerabilityMitigation1 (AZ-WIN-202401) |
控件名称:WinVerifyTrust 签名验证漏洞缓解 1 注册表项:HKLM:\SOFTWARE\Microsoft\Cryptography\Wintrust\Config 注册表值:EnableCertPaddingCheck 注册表值类型:REG_SZ |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| WinVerityTrustSignatureValidationVulnerabilityMitigation2 (AZ-WIN-202402) |
控件名称:WinVerifyTrust 签名验证漏洞缓解 2 注册表项:HKLM:\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Wintrust\Config 注册表值:EnableCertPaddingCheck 注册表值类型:REG_SZ |
重要 | 域控制器 = “等于 (1)” 成员服务器 = “等于 (1)” 工作组成员 = “等于(1)” |
| AllowDatagramProcessingOnWinServer | 控制名称:此设置控制在服务器上启用网络保护的数据报处理 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\NIS\Consumers\IPS 注册表值:AllowDatagramProcessingOnWinServer 注册表值类型:REG_DWORD |
重要 | Equals(0) |
| AllowNetworkProtectionOnWinServer | 控制名称:此设置控制是允许将网络保护配置为 Windows Server 上的阻止模式还是审核模式 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection 注册表值:AllowNetworkProtectionOnWinServer 注册表值类型:REG_DWORD |
重要 | Equals(1) |
| ASRBlockAbuseOfExploitedVulnerableSignedDrivers | 控制名称:阻止滥用被攻击的易受攻击的已签名驱动程序 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:56a863a9-875e-4185-98a7-b882c64b5ce5 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockAdobeReaderFromCreatingChildProcesses | 控制名称:阻止 Adobe Reader 创建子进程 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRBlockEXEFromEmailClientAndWebmail | 控制名称:阻止来自电子邮件客户端和 Webmail 的可执行内容 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRBlockEXEFromRunningUnlessTrusted | 控制名称:阻止可执行文件运行,除非它们符合流行、年龄或受信任的列表条件 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:01443614-cd74-433a-b99e-2ecdc07bfc25 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockJSVBSLaunchingDownloadedContent | 控制名称:阻止 JavaScript 或 VBScript 启动下载的可执行内容 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:d3e037e1-3eb8-44c8-a917-57927947596d 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockLSASSCredentialStealing | 控制名称:阻止从 Windows 本地安全机构子系统窃取凭据(lsass.exe) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockOfficeApplicationsFromCreatingChildProcesses | 控制名称:阻止所有 Office 应用程序创建子进程 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:d4f940ab-401b-4efc-aadc-ad5f3c50688a 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRBlockOfficeCommunicationApplicationFromCreatingChildProcesses | 控制名称:阻止 Office 通信应用程序创建子进程 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:26190899-1602-49e8-8b27-eb1d0a1ce869 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRBlockOfficeFromCreatingExecutableContent | 控制名称:阻止 Office 应用程序创建可执行内容 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:3b576869-a4ec-4529-8536-b80a7769e899 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRBlockOfficeFromInjectingCodeIntoProcesses | 控制名称:阻止 Office 应用程序将代码注入其他进程 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRBlockPersistenceThroughWMIEventSubscription | 控制名称:通过 WMI 事件订阅阻止持久性(不支持文件和文件夹排除项) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:e6db77e5-3df2-4cf1-b95a-636979351e5b 注册表值类型:REG_DWORD |
重要 | Equals(2) |
| ASRBlockPotentiallyObfuscatedScripts | 控制名称:阻止执行可能模糊的脚本 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:5beb7efe-fd9a-4556-801d-275e5ffc04cc 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockProcessCreationFromPSExecAndWMICommands | 控制名称:阻止源自 PSExec 和 WMI 命令的进程创建 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:d1e49aac-8f56-4280-b9ba-993a6d77406c 注册表值类型:REG_DWORD |
重要 | Equals(2) |
| ASRBlockRebootingMachineInSafeMode | 控制名称:在安全模式下阻止重新启动计算机(预览版) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:33ddedf1-c6e0-47cb-833e-de6133960387 注册表值类型:REG_DWORD |
重要 | Equals(2) |
| ASRBlockUntrustedAndUnsignedProcessesRunningFromUSB | 控制名称:阻止从 USB 运行的不受信任和未签名的进程 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockUseOfCopiedOrImpersonatedSystemTools | 控制名称:阻止使用复制或模拟的系统工具(预览版) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 注册表值类型:REG_DWORD |
重要 | Equals(2) |
| ASRBlockWebshellCreationForServers | 控制名称:阻止为服务器创建 Webshell 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:a8f5898e-1dc8-49a9-9878-85004b8a61e6 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| ASRBlockWIN32APIFromOfficeMacros | 控制名称:阻止来自 Office 宏的 Win32 API 调用 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b 注册表值类型:REG_DWORD |
信息 | Equals(0) |
| ASRUseAdvancedProtectionAgainstRansomware | 控制名称:对勒索软件使用高级保护 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules 注册表值:c1db55ab-c21a-4637-bb3f-a12568109d35 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| AttackSurfaceReductionRules (AZ-WIN-202205) |
控制名称:配置攻击面减少规则 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR 注册表值:ExploitGuard_ASR_Rules 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| DisableAntiSpyware | 控制名称:关闭Microsoft Defender 反病毒 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:DisableAntiSpyware 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableAutoExclusions | 控件名称:关闭自动排除项 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions 注册表值:DisableAutoExclusions 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableBehaviorMonitoring | 控件名称:启用行为监视 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time 保护 注册表值:DisableBehaviorMonitoring 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableBlockAtFirstSeen | 控制名称:配置“首次看到时阻止”功能 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet 注册表值:DisableBlockAtFirstSeen 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableEmailScanning | 控制名称:启用电子邮件扫描 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Scan 注册表值:DisableEmailScanning 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableIOAVProtection | 控件名称:扫描所有下载的文件和附件 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time 保护 注册表值:DisableIOAVProtection 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableRealtimeMonitoring | 控制名称:关闭实时保护 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time 保护 注册表值:DisableRealtimeMonitoring 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableRemovableDriveScanning | 控制名称:扫描可移动驱动器 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Scan 注册表值:DisableRemovableDriveScanning 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableRoutinelyTakingAction | 控制名称:关闭例程修正 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:DisableRoutinelyTakingAction 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableScanOnUpdate | 控制名称:在安全智能更新后启用扫描 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates 注册表值:DisableScanOnUpdate 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisableScriptScanning | 控件名称:启用脚本扫描 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time 保护 注册表值:DisableScriptScanning 注册表值类型:REG_DWORD |
危急 | Equals(0) |
| DisallowExploitProtectionOverride | 控件名称:阻止用户修改设置 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 安全中心\应用和浏览器保护 注册表值:DisallowExploitProtectionOverride 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| EnableConvertWarnToBlock | 控制名称:将警告判决转换为阻止 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\NIS 注册表值:EnableConvertWarnToBlock 注册表值类型:REG_DWORD |
重要 | Equals(0) |
| EngineRing | 控制名称:选择Microsoft Defender 每月引擎更新的通道 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:EngineRing 注册表值类型:REG_DWORD |
危急 | OneOf(Equals(5),Equals(6)) |
| HideExclusionsFromLocalAdmins | 控件名称:控制是否对本地管理员可见排除项 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:HideExclusionsFromLocalAdmins 注册表值类型:REG_DWORD |
重要 | Equals(1) |
| HideExclusionsFromLocalUsers | 控件名称:控制是否对本地用户可见排除项 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:HideExclusionsFromLocalUsers 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| LocalSettingOverrideSpynetReporting | 控制名称:配置本地设置替代以报告到 Microsoft MAPS 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet 注册表值:LocalSettingOverrideSpynetReporting 注册表值类型:REG_DWORD |
重要 | Equals(0) |
| MpCloudBlockLevel | 控制名称:选择云保护级别 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine 注册表值:MpCloudBlockLevel 注册表值类型:REG_DWORD |
危急 | OneOf(Equals(2),Equals(4),Equals(6)) |
| OobeEnableRtpAndSigUpdate | 控制名称:在 OOBE 期间配置实时保护和安全智能更新 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time 保护 注册表值:OobeEnableRtpAndSigUpdate 注册表值类型:REG_DWORD |
危急 | Equals(1) |
| PlatformRing | 控制名称:选择用于 Microsoft Defender 每月平台更新的通道 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:PlatformRing 注册表值类型:REG_DWORD |
危急 | OneOf(Equals(5),Equals(6)) |
| PUAProtection | 控制名称:为可能不需要的应用程序配置检测 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:PUAProtection 注册表值类型:REG_DWORD |
危急 | Equals(2) |
| QuickScanIncludeExclusions | 控制名称:在快速扫描期间扫描排除的文件和目录 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Scan 注册表值:QuickScanIncludeExclusions 注册表值类型:REG_DWORD |
重要 | Equals(1) |
| SchedulerRandomizationTime | 控制名称:配置计划的任务时间随机化窗口 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:SchedulerRandomizationTime 注册表值类型:REG_DWORD |
重要 | 范围(1,4) |
| SignaturesRing | 控制名称:选择Microsoft Defender 每日安全智能更新的通道 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender 注册表值:SignaturesRing 注册表值类型:REG_DWORD |
危急 | 等于(5) |
| SpynetReporting | 控件名称:联接Microsoft MAPS 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet 注册表值:SpynetReporting 注册表值类型:REG_DWORD |
危急 | Equals(2) |
| SubmitSamplesConsent | 控制名称:需要进一步分析时发送文件示例 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet 注册表值:SubmitSamplesConsent 注册表值类型:REG_DWORD |
危急 | OneOf(Equals(1),Equals(3)) |
| ConfigureSystemGuardLaunch (AZ-WIN-202247) |
控制名称:Secured-Core SystemGuard (DRTM) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 注册表值:ConfigureSystemGuardLaunch CSP 名称:./Vendor/MSFT/Policy CSP 路径(s): Config/DeviceGuard/ConfigureSystemGuardLaunch 数据类型:数字 |
危急 | 1 |
| EnableVirtualizationBasedSecurity (AZ-WIN-202245) |
控制名称:Secured-Core 基于虚拟化的安全性(VBS) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 注册表值:EnableVirtualizationBasedSecurity CSP 名称:./Vendor/MSFT/Policy CSP 路径(s): Config/DeviceGuard/EnableVirtualizationBasedSecurity 数据类型:数字 |
危急 | 1 |
| HypervisorEnforcedCodeIntegrity (AZ-WIN-202246) |
控制名称:Secured-Core 受虚拟机监控程序保护的代码完整性(HVCI) 注册表项:HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 注册表值:HypervisorEnforcedCodeIntegrity CSP 名称:./Vendor/MSFT/Policy CSP 路径(s): Config/VirtualizationBasedTechnology/HypervisorEnforcedCodeIntegrity 数据类型:数字 |
危急 | 2 |
注释
特定 Azure Policy 计算机配置设置的可用性在 Azure 政府和其他国家/地区云中可能有所不同。
如果要下载此规则列表,请查看此链接“安全 Basline 规则集”
后续步骤
有关 Azure Policy 和计算机配置的其他文章:
- Azure Policy 来宾配置。
- 法规符合性概述。
- 查看过去的 Windows Server 版本 WS 基线内容的基线内容。
- 请查看理解政策效果。
- 了解如何修正不符合的资源。