Podpora pokyny konfigurace zabezpečení

Překlady článku Překlady článku
ID článku: 885409 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Microsoft, Centrum pro zabezpečení sítě Internet (CIS), národní agentury zabezpečení (NÁVODU), obranu informace systémů agentury (AGENCY), National Institute of Standards a Technology (NIST) publikovali pokyny "ke konfiguraci zabezpečení" pro systém Microsoft Windows.

Zabezpečení vysoké úrovně, které jsou specifikovány v některých těchto příručkách mohou výrazně omezit funkce systému. Proto je třeba provést před nasazením těchto doporučení. Doporučujeme použít dodatečná opatření, když provedete následující:
  • Úpravy seznamů řízení přístupu (ACL) pro soubory a klíče registru
  • Povolit Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)
  • Povolit Zabezpečení sítě: Neukládat hodnotu hash systému LAN Manager při příští změně hesla
  • Povolit Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, zatřiďování a podepisování
  • Zakázat Automatická služba aktualizace nebo Služba inteligentního přenosu na pozadí (BITS)
  • Zakázat Služba NetLogon
  • Povolit NoNameReleaseOnDemand
Společnost Microsoft významně podporuje úsilí k dispozici bezpečnostní pokyny k nasazení v oblasti vysoké zabezpečení. Však je nutné návod důkladně vyzkoušet v cílovém prostředí. Potřebujete-li další nastavení zabezpečení navíc k výchozímu nastavení, doporučujeme, abyste v tématech příručky vydané společností Microsoft. Mohou sloužit jako výchozí bod pro požadavky vaší organizace. Pro podporu nebo otázky týkající se výrobců vodítka obraťte se na organizaci, která návod vydala.

Úvod

Během posledních několika let počet organizací, včetně společnosti Microsoft, středisko pro zabezpečení sítě Internet (CIS), národní agentury zabezpečení (NÁVODU), obranu informace systémů agentury (AGENCY) a National Institute of Standards a Technology (NIST) publikovali pokyny "ke konfiguraci zabezpečení" pro systém Windows. Stejně jako u každého návodu k zabezpečení další zabezpečení, který je často vyžadován má nepříznivý vliv na použitelnost.

Některé z těchto návodů, včetně příruček od společnosti Microsoft, CIS a NIST, obsahují více úrovní nastavení zabezpečení. Návody mohou obsahovat úrovně určené pro následující:
  • Spolupráce se staršími operačními systémy
  • Podniková prostředí
  • Rozšířené zabezpečení, které poskytuje omezené funkce

    Poznámka: Tato úroveň je často označován jako specializované zabezpečení – omezené funkce nebo úrovni Vysoké zabezpečení.
Úroveň Vysoké zabezpečení nebo specializované zabezpečení – omezené funkce, je určen speciálně pro velmi nepřátelská prostředí s výrazným nebezpečím útoku. Tato úroveň chrání informace nejvyšší možnou hodnotu, jako například informace vyžadované některými vládními systémy. Úroveň Vysoké zabezpečení většiny těchto veřejných návodů je nevhodná většina systémů, které se systémem Windows. Doporučujeme nepoužívat úroveň Vysoké zabezpečení na obecný pracovní stanice. Doporučujeme použít úroveň Vysoké zabezpečení pouze v systémech, kde by ohrožení způsobilo ztrátu života, ztrátu velmi cenné informace nebo ztrátu hodně peněz.

Několik skupin pracoval u společnosti Microsoft k výrobě těchto bezpečnostních pokynů. V mnoha případech tyto pokyny všechny adresy podobným hrozbám. Se však každý návod mírně liší z důvodu právní požadavky, místní zásady a funkční požadavky. Z tohoto důvodu může nastavení lišit z jedné sady doporučení k dalšímu. "Organizace, které vyvolávají veřejně k dispozici bezpečnostní pokyny" oddíl obsahuje shrnutí každého návodu k zabezpečení.

Další informace

Organizace, které vydávají veřejně k dispozici bezpečnostní pokyny

Společnost Microsoft Corporation

Společnost Microsoft poskytuje návod, jak pomoci zabezpečit jejich operačních systémů. Vyvinuli jsme následující tři úrovně nastavení zabezpečení:
  • Organizace klienta (ES)
  • Samostatné (SA)
  • Specializované zabezpečení – omezené funkce (SSLF)
V mnoha situacích zákazníků jsme důkladně zkoušeli návod k použití. Návod je vhodný pro každou organizaci, která chce přispět k zabezpečení svého počítače se systémem Windows.

Plně podporujeme naše vodítka z důvodu rozsáhlé testování, které jsme vedly v našich laboratořích kompatibility aplikace na tyto návody. Navštivte následující weby společnosti Microsoft návody si můžete stáhnout: Je-li docházet k potížím nebo budete mít komentáře po implementaci vodítka zabezpečení společnosti Microsoft, zpětnou vazbu můžete poskytnout odesláním e-mailové zprávě na secwish@microsoft.com.

Pokyny ke konfiguraci zabezpečení pro operační systém Windows, aplikace Internet Explorer a produktivity v sadě Office je k dispozici v modulu snap-in Správce soulad zabezpečení společnosti Microsoft:http://technet.microsoft.com/en-us/library/cc677002.aspx.


Centrum pro zabezpečení Internetu

Vyvinulo poskytnout informace, které pomáhá organizacím informovaně rozhodovat o určitých dostupných možnostech zabezpečení. CIS poskytl tři úrovně standardů zabezpečení:
  • Starší verze
  • Organizace
  • Vysoké zabezpečení
Pokud problémy nebo komentáře po provedení nastavení benchmarku CIS, kontaktujte CIS odesláním e-mailové zprávě na win2k-feedback@cisecurity.org.

Poznámka: Návod na CIS změnila jsme původní vydání tohoto článku (3. listopadu 2004). Aktuální návod Centra bezpečnosti na Internetu připomíná návod poskytovaný společností Microsoft. Další informace o společnosti Microsoft poskytuje pokyny naleznete v části "Microsoft Corporation" dříve v tomto článku.

Národní institut pro standardy a technologii

NIST je zodpovědný za vytváření bezpečnostních pokynů pro federální vládu USA. Vytvořil čtyři úrovně pokynů k zabezpečení, které používají americké federální úřady, soukromé organizace a veřejné organizace:
  • SoHo
  • Starší verze
  • Organizace
  • Specializované zabezpečení – omezené funkce
Je-li docházet k potížím nebo budete mít komentáře po implementaci šablon zabezpečení Národního institutu Standardů, kontaktujte odesláním e-mailové zprávě na itsec@nist.gov.

Poznámka: Návod na NIST změnila jsme původní vydání tohoto článku (3. listopadu 2004). Aktuální návod Národního institutu Standardů a připomíná návod poskytovaný společností Microsoft. Další informace o společnosti Microsoft poskytuje pokyny naleznete v části "Microsoft Corporation" dříve v tomto článku.

Defense Information Systems Agency

AGENCY vytváří pokyny speciálně pro použití v USA ministerstva obrany (DOD). Spojené státy uživatelé problémy nebo máte připomínky po implementaci pokyny ke konfiguraci AGENCY zpětnou vazbu můžete poskytnout odesláním e-mailové zprávě nafso_spt@ritchie.disa.mil.

Poznámka: Návod na AGENCY změnila jsme původní vydání tohoto článku (3. listopadu 2004). Aktuální návod na AGENCY je podobné nebo stejné jako návod, který poskytuje společnost Microsoft. Další informace o společnosti Microsoft poskytuje pokyny naleznete v části "Microsoft Corporation" dříve v tomto článku.

Národního bezpečnostního úřadu (národního bezpečnostního úřadu)

Vnitrostátní bezpečnostní vyrobil pokyny k zabezpečení vysoce ohrožených počítačů v USA ministerstva obrany (DOD). Vyvinul jednu úroveň pokynů, která odpovídá přibližně úrovni Vysoké zabezpečení vytvořené jinými organizacemi.

Je-li docházet k potížím nebo budete mít komentáře po implementaci zabezpečení vodítka národního bezpečnostního úřadu pro systém Windows XP, zpětnou vazbu můžete poskytnout odesláním e-mailové zprávě naXPGuides@nsa.gov. Chcete-li názor na příručky Windows 2000, odešlete e-mailovou zprávu na w2kguides@nsa.gov.

Poznámka: Návod Národního bezpečnostního úřadu a změnila jsme původní vydání tohoto článku (3. listopadu 2004). Aktuální návod Národního bezpečnostního úřadu a je podobné nebo stejné jako návod, který poskytuje společnost Microsoft. Další informace o společnosti Microsoft poskytuje pokyny naleznete v části "Microsoft Corporation" dříve v tomto článku.

Problémy s návody k zabezpečení

Jak bylo uvedeno výše v tomto článku, vysoké úrovně zabezpečení popsané v některých těchto příručkách byly navrženy k výraznému omezení funkcí systému. Z důvodu tohoto omezení měli důkladně vyzkoušet systém před nasazením těchto doporučení.

Poznámka:Je k dispozici pro SoHo, starší nebo podnikové úrovně pokynů k zabezpečení nebyla hlášena vážně ovlivnit funkčnost systému. Tento článek znalostní báze Knowledge Base se hlavně zaměřuje na pokyny, které souvisí s nejvyšší úrovní zabezpečení.

Významně podporujeme úsilí k dispozici bezpečnostní pokyny k nasazení v oblasti vysoké zabezpečení. Budeme pokračovat v práci se skupinami zabezpečení standardy na vývoji plně testovaných pokynů Pokračujeme. Pokyny pro zabezpečení od třetích stran jsou vždy vydávány s silné varování pokyny plně otestovat v prostředí cíl vysoké úrovně zabezpečení. Avšak tato upozornění není vždy heeded. Zkontrolujte, zda je v cílovém prostředí důkladně otestujte všechny konfigurace zabezpečení. Nastavení zabezpečení, které se liší od těch, které doporučujeme, může znehodnotit platnost testování kompatibility aplikací, které se provádí jako součást testovacího procesu operačního systému. Navíc jsme a třetích stran výslovně Zabraňte použití konceptu návod v živém výrobním prostředí místo v testovacím prostředí.

Vysoké úrovně těchto pokynů k zabezpečení obsahují několik nastavení, které byste měli pečlivě vyhodnotit před jejich implementací. Ačkoli tato nastavení může poskytnout další výhody pro zabezpečení, nastavení může mít nepříznivý vliv na použitelnost systému.

Soubor systému a registru přístup ovládacího prvku seznam změn

Systém Windows XP a novějších verzích systému Windows mají výrazně zpřísněna oprávnění v celém systému. Rozsáhlé změny výchozích oprávnění by proto neměl být nezbytné.

Další discretionary access control seznam DACL změny může znehodnotit všech nebo většiny testování kompatibility aplikací, které provádí společnost Microsoft. Často změny jako tyto nebyly podrobeny důkladné testování, Microsoft provedl další nastavení. Případech podpory a pole zkušenosti ukázaly, že DACL úpravy mění základní reakce operačního systému, často nezamýšleným způsobem. Tyto změny ovlivňují kompatibilitu a stabilitu aplikací a snižují funkčnost, s ohledem na výkon a možnosti.

Z důvodu těchto změn nedoporučujeme měnit systém souborů DACL soubory, které jsou součástí operačního systému ve výrobních systémech. Doporučujeme vyhodnotit další změny seznamu řízení přístupu proti známému nebezpečí porozumět potenciální výhody, které změny mohou poskytnout konkrétní konfiguraci. Z těchto důvodů naše návody obsahují pouze minimální změny seznamu DACL a pouze pro systém Windows 2000. V systému Windows 2000 jsou požadovány některé menší změny. Tyto změny jsou popsány vSystém Windows 2000 Security Hardening Guide.

Rozsáhlé změny oprávnění jsou šířeny v celém systému souborů a registru nelze vrátit zpět. Mohou být ovlivněny nové složky, například složky profilu uživatele, které nenacházely po původní instalaci operačního systému. Proto pokud odeberete nastavení Zásady skupiny, který provádí změny seznamu DACL, nebo použít výchozí nastavení systému, nelze vrátit zpět původní DACL.

Změny v seznamu DACL% SystemDrive % složka může způsobit následující situace:
  • Koš již funkce, jako je navržen a soubory nelze obnovit.
  • Snížení zabezpečení, který umožňuje bez oprávnění správce zobrazit obsah Koše správce.
  • Selhání uživatelské profily fungovat očekávaným způsobem.
  • Snížení zabezpečení, které interaktivním uživatelům poskytne přístup ke čtení k některým nebo ke všem uživatelským profilům v systému.
  • Problémy s výkonem při mnoho úprav seznamu DACL, které jsou načteny do objektu Zásady skupiny, který obsahuje dlouhé časy pro přihlášení nebo opakovaná restartování cílového systému.
  • Problémy s výkonem, včetně zpomalování systému, každých 16 hodin nebo tak jako Zásady skupiny je znovu použito nastavení.
  • Problémy s kompatibilitou aplikací nebo hroucení aplikací.
Chcete-li odebrat nejhorší výsledky takových oprávnění souborů a registru, společnost Microsoft poskytne komerčně rozumné úsilí, v souladu s ustanoveními Smlouvy o podpoře. Však nelze vrátit aktuálně zpět tyto změny. Můžeme pouze zaručit, že se můžete vrátit k doporučené nastavení mimo pole zformátováním pevného disku a přeinstalací operačního systému.

Úpravy registru DACL například ovlivnit velkou část podregistrů registru a může způsobit, že systém nebude fungovat očekávaným způsobem. Úpravy seznamů DACL v jednom klíči registru představuje menší problém pro mnoho systémů. Doporučujeme však pečlivě zvážili a vyzkoušeli tyto změny před jejich implementací. Opět můžeme pouze zaručit, že se můžete vrátit k nastavení mimo pole Pokud přeformátujete a přeinstalovat operační systém.

Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)

Pokud toto nastavení povolíte, klienti musí podepsat přenosy protokolu SMB (Server Message Block) při kontaktování serverů, které nevyžadují podpis protokolu SMB. Díky klienti méně zranitelní vůči útokům na relace. To je významné zlepšení, ale pokud nebude povolena podobná změna na serveru povolit Server sítě Microsoft: digitálně podepsat komunikaci (vždy) nebo Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud klient souhlasí), nebude klient schopen se serverem úspěšně komunikovat.

Zabezpečení sítě: Neukládat hodnotu hash systému LAN Manager při příští změně hesla

Pokud toto nastavení povolíte, bude při změně hesla uložena hodnota hash systému LAN Manager (LM) nového hesla. Hodnota hash systému LM je relativně slabá a náchylné k napadení v porovnání s kryptograficky silnější hodnotou hash systému Microsoft Windows NT. Ačkoli toto nastavení poskytuje významné dodatečné zabezpečení systému tím, že mnoho běžných nástrojů prolomení hesla, nastavení můžete zabránit správnému spuštění nebo některých aplikací.

Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, zatřiďování a podepisování

Pokud toto nastavení povolíte, Internetová informační služba (IIS) a aplikace Microsoft Internet Explorer používat pouze protokol Transport Layer Security (TLS) 1.0. Pokud je toto nastavení povoleno na serveru se spuštěnou službou IIS, můžete připojit pouze webové prohlížeče podporující protokol TSL 1.0. Pokud je toto nastavení povoleno na webový klient, klient může připojit pouze k serverům, které podporují protokol TLS 1.0. Tento požadavek může ovlivnit schopnost klienta navštěvovat webové stránky používající protokol SSL (protokol SSL (Secure Sockets Layer)).Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
811834Po povolení kryptografie kompatibilní se standardem FIPS nelze navštivte weby používající protokol SSL

Navíc pokud povolíte toto nastavení na serveru, který používá Terminálovou službu, klienti jsou nuceni používat k připojení klienta RDP 5.2 nebo novější.

Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
811833Účinky povolení "Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, výpočtu hodnoty hash a k podepisování" nastavení zabezpečení v systému Windows XP a novějších verzích systému Windows

Automatická služba aktualizace nebo Služba inteligentního přenosu na pozadí (BITS) je zakázána.

Jeden ze základních pilířů strategie zabezpečení společnosti Microsoft je zajistit, aby systémy byly aktuální aktualizace. Klíčovou součástí této strategie je služba Automatické aktualizace. Služby Windows Update a aktualizace softwaru pomocí služby Automatické aktualizace. Služba Automatické aktualizace závisí na pozadí inteligentního přenosu na služby (BITS). Je-li tato služba zakázána, počítače již nebude moci přijímat aktualizace ze systému Windows Update pomocí funkce Automatické aktualizace, služby Software Update services (SUS) nebo některé instalace serveru Microsoft Systems Management Server (SMS). Tyto služby by mělo být zakázáno pouze v systémech, které je efektivní aktualizaci distribuční systém, který není závislý na službě BITS.

Služba NetLogon je zakázána.

Pokud zakážete službu NetLogon, pracovní stanice již spolehlivě pracovat jako člen domény. Toto nastavení může být vhodné pro některé počítače, které nejsou členy domén. Však by měla být pečlivě vyhodnocovala před nasazením.

NoNameReleaseOnDemand

Toto nastavení zabrání serveru vzdát svého názvu NetBIOS, pokud je v konfliktu s jiným počítačem v síti. Toto nastavení je dobrý preventivní opatření pro odmítnutí služby vedeným proti názvovým serverům a jiné role serveru velmi důležité.

Povolíte-li toto nastavení na pracovní stanici, odmítne opustit svého názvu NetBIOS i v případě, že název v konfliktu s názvem důležitější systému, jako je například řadič domény. Tato situace může zakázat důležité funkce domény. Společnost Microsoft významně podporuje úsilí k dispozici bezpečnostní pokyny, určený k nasazení v oblastech s vysokou úrovní zabezpečení. Však tento návod musí být testována v cílovém prostředí. Důrazně doporučujeme, aby správci systému, kteří vyžadují dodatečné nastavení zabezpečení navíc k výchozímu nastavení pomocí příručky vydané společností Microsoft jako výchozí bod pro požadavky svých organizací. Pro podporu nebo otázky týkající se výrobců vodítka obraťte se na organizaci, která návod vydala.

Odkazy

Další informace o nastavení zabezpečení naleznete v tématu Threats and Countermeasures: nastavení zabezpečení v systému Windows Server 2003 a Windows XP. Chcete-li stáhnout tuto příručku, navštivte následující web společnosti Microsoft:
http://go.microsoft.com/fwlink/?Identifikátor LinkId = 15159
Další informace o účinku některých dodatečných klíčových nastavení zabezpečení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
823659Klienta, služby a program nekompatibility, které mohou nastat při úpravě nastavení zabezpečení a přiřazení uživatelských práv
Další informace o účincích vyžadování algoritmů kompatibilních se standardem FIPS získáte článku znalostní báze Microsoft Knowledge Base:
811833Účinky povolení "Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, výpočtu hodnoty hash a k podepisování" nastavení zabezpečení v systému Windows XP a novějších verzích
Společnost Microsoft poskytuje informací o technické podpory. Tyto kontaktní informace mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.

Informace o výrobce hardwaru naleznete na následujícím webu společnosti Microsoft:
http://support.microsoft.com/gp/Vendors/en-us

Vlastnosti

ID článku: 885409 - Poslední aktualizace: 22. května 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbsectools kbhowto kbsecurity kbmt KB885409 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:885409

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com