Retningslinjer for sikkerhedskonfiguration (security configuration guidance)

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 885409 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft og de amerikanske organer CIS (Center for Internet Security), NSA (National Security Agency), DISA (Defense Information Systems Agency) og NIST (National Institute of Standards and Technology) har udgivet sikkerhedsretningslinjerne "security configuration guidance" til Windows.

De høje sikkerhedsniveauer, der er anført i nogle af disse retningslinjer, kan medføre markante begrænsninger i systemets funktionalitet. Derfor bør du udføre grundigt testarbejde, før du implementerer disse anbefalinger. Vi anbefaler, at du er ekstra forsigtig, når du benytter følgende fremgangsmåde:
  • Redigerer adgangskontrollister for filer og registreringsnøgler.
  • Aktiverer Microsoft-netværksklient: Signer kommunikation digitalt (altid).
  • Aktiverer Netværkssikkerhed: Gem ikke LAN Manager-hash-værdien ved næste ændring af adgangskode.
  • Aktiverer Systemkryptografi: Bruger FIPS-kompatible algoritmer til kryptering, hashing og signering
  • Deaktiverer tjenesten Automatisk opdatering eller tjenesten Background Intelligent Transfer
  • Deaktiverer tjenesten Netlogon.
  • Aktiverer NoNameReleaseOnDemand.
Microsoft går stærkt ind for de brancheinitiativer, der udgiver retningslinjer for sikkerheden ved implementeringer i områder med høje sikkerhedskrav. Du skal dog gennemteste retningslinjerne i destinationsmiljøet. Hvis du har brug for ekstra sikkerhedsforanstaltninger i tillæg til standardindstillingerne, anbefaler vi på det kraftigste, at du læser de retningslinjer, Microsoft har udgivet. Disse retningslinjer kan tjene som udgangspunkt for sikkerhedskravene på din arbejdsplads. Hvis du ønsker support eller har spørgsmål til tredjepartsretningslinjer, skal du kontakte den organisation, der har udgivet retningslinjerne.

Introduktion

Igennem en årrække har forskellige organisationer, herunder Microsoft og de amerikanske organer CIS (Center for Internet Security), NSA (National Security Agency), DISA (Defense Information Systems Agency) og NIST (National Institute of Standards and Technology), udgivet sikkerhedsretningslinjerne "security configuration guidance" til Windows. Som det er tilfældet med enhver sikkerhedsforanstaltning, har ekstra sikkerhed, der ofte er påkrævet, en negativ effekt på funktionaliteten.

Mange af disse retningslinjer, herunder dem fra Microsoft, CIS og NIST, har flere niveauer af sikkerhedsindstillinger. Retningslinjerne kan omfatte niveauer, der er designet til følgende:
  • Kompatibilitet med ældre operativsystemer
  • Firmamiljøer
  • Udvidet sikkerhed med begrænset funktionalitet

    Bemærk! Dette niveau omtales ofte som Specialized Security-Limited Functionality (specialiseret sikkerhed-begrænset funktionalitet) eller High Security (høj sikkerhed).
Niveauet High Security, eller Specialized Security-Limited Functionality, er designet specifikt til ekstremt udsatte miljøer med høj risiko for angreb udefra. Dette niveau beskytter de mest værdifulde data, f.eks. følsomme oplysninger i regeringssystemer. Niveauet High Security i hovedparten af disse offentliggjorte retningslinjer er passende for størstedelen af de systemer, der kører Windows. Vi fraråder brug af niveauet High Security på almindelige arbejdsstationer. Vi anbefaler kun brug af niveauet High Security på systemer, hvor indtrængen kan medføre tab af menneskeliv, tab af ekstremt værdifulde data eller store økonomiske tab.

En række interessegrupper har samarbejdet med Microsoft omkring fremstillingen af disse sikkerhedsretningslinjer. I mange tilfælde vedrører retningslinjerne ensartede trusler. Hver enkelt guide skiller sig dog en smule ud fra de andre af juridiske grunde, af lokalpolitiske hensyn og pga. funktionsmæssige krav. Derfor kan indstillingerne variere fra det ene sæt anbefalinger til det andet. Afsnittet "Organizations that produce publicly available security guidance" indeholder en oversigt over hver enkelt sikkerhedsguide.

Yderligere Information

Organisationer, der fremstiller offentligt tilgængelige sikkerhedsretningslinjer

Microsoft Corporation

Microsoft anviser retningslinjer for sikring af egne operativsystemer. Vi har udviklet de følgende tre niveauer af sikkerhedsindstillinger:
  • EC (Enterprise Client)
  • SA (Stand-Alone)
  • SSLF (Specialized Security ? Limited Functionality)
Vi har gennemtestet disse retningslinjer til brug i mange forskellige kundescenarier. Retningslinjerne er velegnede for enhver virksomhed, der ønsker at beskytte deres Windows-computere yderligere.

Vi yder fuld support på vores retningslinjer pga. det omfattende testarbejde, vi har udført i vores programkompatibilitetslaboratorier. Besøg følgende Microsoft-websteder for at hente vores retningslinjer:Hvis du får problemer eller har kommentarer, når du har implementeret Microsoft Security Guides, kan du sende feedback via e-mail til secwish@microsoft.com.

Center for Internet Security

CIS har udviklet benchmarks, der leverer kvalificerede oplysninger, som virksomheder kan benytte i beslutningsprocesser vedrørende sikkerhedsspørgsmål. CIS stiller tre niveauer af sikkerhedsbenchmarks til rådighed:
  • Legacy (ældre udstyr)
  • Enterprise (virksomhed)
  • High Security (høj sikkerhed)
Hvis du får problemer eller har kommentarer, når du har implementeret CIS-benchmarkindstillingerne, kan du kontakte CIS ved at indsende en e-mail til win2k-feedback@cisecurity.org.

Bemærk! CIS-vejledningen er ændret, siden vi første gang udgav denne artikel (3. november 2004). Den aktuelle CIS-vejledning ligner vejledningen fra Microsoft. Du kan finde flere oplysninger om vejledningen fra Microsoft ved at læse afsnittet "Microsoft Corporation" tidligere i denne artikel.

National Institute of Standards and Technology

NIST har ansvaret for fremstillingen af sikkerhedsretningslinjer for den amerikanske regering. NIST har oprettet fire niveauer af sikkerhedsretningslinjer, der anvendes af de amerikanske regeringsorganer, private virksomheder og den offentlige sektor:
  • SoHo (Small office/Home office ? lille kontor/hjemmekontor)
  • Legacy (ældre udstyr)
  • Enterprise (virksomhed)
  • Specialized Security?Limited Functionality (specialiseret sikkerhed-begrænset funktionalitet)
Hvis du får problemer eller har kommentarer, når du har implementeret NIST-sikkerhedsskabelonerne, kan du kontakte NIST ved at indsende en e-mail til itsec@nist.gov.

Bemærk! NIST-vejledningen er ændret, siden vi første gang udgav denne artikel (3. november 2004). Den aktuelle NIST-vejledning ligner vejledningen fra Microsoft. Du kan finde flere oplysninger om vejledningen fra Microsoft ved at læse afsnittet "Microsoft Corporation" tidligere i denne artikel.

Defense Information Systems Agency

DISA fremstiller retningslinjer, der gælder specifikt for DOD (Dial On Demand ? opkald efter behov). DOD-brugere i USA, der får problemer eller har kommentarer, når de har implementeret DISA-konfigurationsretningslinjerne, kan indsende feedback via e-mail til fso_spt@ritchie.disa.mil.

Bemærk! DISA-vejledningen er ændret, siden vi første gang udgav denne artikel (3. november 2004). Den aktuelle DISA-vejledning ligner eller er magen til vejledningen fra Microsoft. Du kan finde flere oplysninger om vejledningen fra Microsoft ved at læse afsnittet "Microsoft Corporation" tidligere i denne artikel.

NSA (National Security Agency)

NSA har fremstillet retningslinjer, der øger sikkerheden på højrisikocomputere i det amerikanske forsvarsministerium. NSA har udviklet et enkelt niveau for retningslinjer, der stort set svarer til niveauet High Security, som fremstilles af andre organisationer.

Hvis du får problemer eller har kommentarer, når du har implementeret NSA Security Guides til Windows XP, kan du indsende feedback via e-mail til XPGuides@nsa.gov. Du kan give feedback på Windows 2000-guiderne ved at sende en e-mail til w2kguides@nsa.gov.

Bemærk! NSA-vejledningen er ændret, siden vi første gang udgav denne artikel (3. november 2004). Den aktuelle NSA-vejledning ligner eller er magen til vejledningen fra Microsoft. Du kan finde flere oplysninger om vejledningen fra Microsoft ved at læse afsnittet "Microsoft Corporation" tidligere i denne artikel.

Problemer med sikkerhedsretningslinjer

Som nævnt tidligere i denne artikel er de høje sikkerhedsniveauer, der er beskrevet i nogle af disse vejledninger, udviklet til at medføre markante restriktioner for funktionaliteten af et system. Pga. disse restriktioner bør du teste et system grundigt, før du implementerer disse anbefalinger.

Bemærk! Sikkerhedsretningslinjerne for niveauerne Legacy, SoHo og Enterprise påvirker ifølge rapporterne ikke systemets funktionalitet markant. Denne artikel i Knowledge Base sætter primært fokus på retningslinjerne for det højeste sikkerhedsniveau.

Vi går stærkt ind for de brancheinitiativer, der udgiver retningslinjer for sikkerheden ved implementeringer i områder med høje sikkerhedskrav. Vi samarbejder løbende med sikkerhedsstandardiseringsgrupper omkring udviklingen af nyttige sikkerhedsfremmende retningslinjer, der er gennemtestede. Sikkerhedsretningslinjer fra tredjeparter udsendes altid med kraftige opfordringer til at gennemteste retningslinjerne i destinationsmiljøer med høje sikkerhedskrav. Disse opfordringer bliver dog ikke altid imødekommet. Sørg for at gennemteste alle sikkerhedskonfigurationer i destinationsmiljøet. Sikkerhedsindstillinger, der afviger fra vores anbefalinger, kan ødelægge den programkompatibilitetstest, der udføres som led i testen af operativsystemet. Desuden fraråder vi og tredjeparterne anvendelse af de udstukne retningslinjer i et aktivt produktionsmiljø i stedet for et testmiljø.

De høje niveauer i disse sikkerhedsguides omfatter mange indstillinger, der skal vurderes nøje, før de implementeres. Indstillingerne kan ganske vist øge sikkerheden, men de kan have den stik modsatte effekt på systemets anvendelighed.

Ændringer af filsystemets og registreringsdatabasens adgangskontrolliste

Tilladelserne er blevet strammere i hele systemet i Windows Vista, Microsoft Windows XP og Microsoft Windows Server 2003. Der er derfor ikke nødvendigt at foretage omfattende ændringer af standardtilladelser.

Yderligere ændringer af adgangskontrollisterne kan ødelægge alle eller de fleste programkompatibilitetstest, der udføres af Microsoft. Ændringer som disse har som regel ikke været igennem samme dybdegående testarbejde som det, Microsoft foretager af andre indstillinger. Studier og feltundersøgelser har vist, at ændringer af adgangskontrollisterne forandrer den grundlæggende funktionalitet af operativsystemet, og ofte på utilsigtede måder. Disse ændringer påvirker programmernes kompatibilitet og stabilitet og reducerer funktionaliteten, både hvad angår ydeevnen og egenskaberne.

Pga. disse ændringer fraråder vi redigering af filsystemets adgangskontrollister for filer, der er leveret sammen med operativsystemet, på produktionssystemer. Vi anbefaler dig at opveje eventuelle yderligere ændringer af adgangskontrollister mod en kendt trussel for at få kendskab til de potentielle fordele, som ændringerne kan have i en konkret konfiguration. Derfor benytter vores guides kun minimale ændringer af adgangskontrollister, og kun til Windows 2000, hvor en række mindre ændringer er nødvendige. Disse ændringer er beskrevet i Windows 2000 Security Hardening Guide.

Omfattende ændringer af tilladelser, der spredes overalt i registreringsdatabasen og filsystemet, kan ikke fortrydes. Nye mapper, f.eks. brugerprofilmapper, der ikke fandtes under den oprindelige installation af operativsystemet, kan blive berørt. Hvis du fjerner en gruppepolitikindstilling, der ændrer adgangskontrollister, eller hvis du anvender systemstandarderne, kan du derfor ikke gendanne de oprindelige adgangskontrollister.

Ændringer af adgangskontrollisten i mappen %systemdrev% kan medføre følgende scenarier:
  • Papirkurv fungerer ikke længere efter hensigten, og filerne kan ikke gendannes.
  • Lavere sikkerhed, så en ikke-administrator kan se indholdet af administratorens papirkurv.
  • Brugerprofilerne fungerer ikke korrekt.
  • Lavere sikkerhed, så interaktive brugere får læseadgang til nogle eller alle brugerprofiler på systemet.
  • Problemer med ydeevnen, når mange ændrede adgangskontrollister indlæses i et gruppepolitikobjekt, der indeholder lange logontider, eller gentagne genstarter af destinationssystemet.
  • Problemer med ydeevnen, herunder lavere systemhastighed, ca. hver 16. time, når indstillinger af gruppepolitik genanvendes.
  • Problemer med programmers kompatibilitet eller programnedbrud.
Med henblik på at hjælpe dig med at fjerne de værste resultater af disse fil- og registreringsdatabasetilladelser vil Microsoft i det omfang, det er økonomisk forsvarligt, stille ressourcer til rådighed som led i din supportkontrakt. I øjeblikket kan du dog ikke fortryde disse ændringer. Vi kan kun garantere, at du kan gå tilbage til de anbefalede fabriksstandarder ved at omformatere harddisken og geninstallere operativsystemet.

Ændringer af registreringsdatabasens adgangskontrollister påvirker f.eks. store dele af registreringsdatabasens hive-filer og kan medføre, at systemet ikke længere fungerer korrekt. Ændringer af adgangskontrollister i enkelte registreringsnøgler er et mindre problem på mange systemer. Det anbefales dog, at du overvejer at teste disse ændringer grundigt, før du implementerer dem. Også i dette tilfælde kan vi kun garantere, at du kan gå tilbage til de anbefalede fabriksstandarder ved at omformatere harddisken og geninstallere operativsystemet.

Microsoft-netværksklient: Signer kommunikation digitalt (altid)

.Når du aktiverer denne indstilling, skal klienterne signere SMB-trafik (servermeddelelsesblok), når de kontakter servere, der ikke kræver SMB-signering. Det gør klienterne mindre sårbare over for sessionskapring udefra. Det giver markante fordele, men uden at aktivere en lignende ændring på serveren for at aktivere Microsoft-netværksserver: Signer kommunikation digitalt (altid) eller Microsoft-netværksklient: Signer kommunikation digitalt (hvis klienten godkender det) kan klienten ikke kommunikere korrekt med serveren.

Netværkssikkerhed: Gem ikke LAN Manager-hashværdien ved næste ændring af adgangskode

.Når du aktiverer denne indstilling, gemmes LAN Manager-hashværdien for en ny adgangskode ikke, når adgangskoden ændres. LAN Manager-hashværdien er relativt svag og nem at angribe i forhold til den kryptografisk stærkere Microsoft Windows NT-hashværdi. Denne indstilling giver ganske vist betydeligt højere sikkerhed på et system, da den spærrer for mange almindelige værktøjer, der kan opsnappe adgangskoder, men indstillingen kan forhindre programmer i at starte eller køre korrekt.

Systemkryptografi: Bruger FIPS-kompatible algoritmer til kryptering, hashing og signering

Når du aktiverer denne indstilling, bruger IIS (Internet Information Services) og Microsoft Internet Explorer kun TLS-protokol 1.0 (Transport Layer Security). Hvis denne indstilling er aktiveret på en server, der kører IIS, er det kun webbrowsere, der understøtter TLS 1.0, som kan oprette forbindelse. Hvis denne indstilling er aktiveret på en webklient, kan klienten kun oprette forbindelse til servere, der understøtter TLS 1.0-protokollen. Dette krav kan påvirke en klients evne til at besøge websteder, der bruger SSL (Secure Sockets Layer). Du finder flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
811834 Kan ikke besøge SSL-websteder efter aktivering af FIPS-kompatibel kryptografi. Artiklen er evt. på engelsk.

Når du aktiverer denne indstilling på en server, der bruger Terminal Services, tvinges klienterne også til at bruge RDP-klient 5.2 eller nyere versioner til at oprette forbindelse.

Du finder flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
811833 Effekten ved aktivering af sikkerhedsindstillingen "Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering" i Windows XP og i nyere versioner af Windows. Artiklen er evt. på engelsk.

Tjenesten Automatiske opdateringer eller tjenesten Background Intelligent Transfer er deaktiveret

En af grundpillerne i Microsofts sikkerhedsstrategi er at sørge for, at systemerne holdes opdateret. En af nøglekomponenterne i denne strategi er tjenesten Automatiske opdateringer. Både tjenesten Windows Update og Softwareopdateringer benytter tjenesten Automatiske opdateringer. Tjenesten Automatiske opdateringer er afhængig af tjenesten BITS (Background Intelligent Transfer). Hvis disse tjenester er deaktiveret, kan computerne ikke længere modtage opdateringer fra Windows Update via Automatiske opdateringer, fra SUS (Software Update Services) eller fra Microsoft SMS-installationer (Systems Management Server). Disse tjenester bør kun deaktiveres på systemer, der har et effektivt opdateringsdistributionssystem, som ikke skal bruge tjenesten BITS.

Tjenesten Netlogon er deaktiveret

Hvis du deaktiverer tjenesten Netlogon, kan en arbejdsstation ikke længere fungere pålideligt som medlem af et domæne. Denne indstilling kan være velegnet på visse computere, der ikke er medlem af domæner, men den skal overvejes nøje, inden den implementeres.

NoNameReleaseOnDemand

Denne indstilling forhindrer en server i at opgive NetBIOS-navnet, hvis det skaber konflikt med en anden computer på netværket. Denne indstilling er et godt præventivt middel mod Denial of Service-angreb mod navneservere og andre kritiske serverroller.

Hvis du aktiverer denne indstilling på en arbejdsstation, vil arbejdsstationen nægte at opgive sit NetBIOS-navn, selvom navnet skaber konflikt med navnet på et vigtigere system, f.eks. en domænecontroller. Dette scenario kan deaktivere vigtige domænefunktioner. Microsoft går stærkt ind for de brancheinitiativer, der udgiver retningslinjer for sikkerheden ved implementeringer i områder med høje sikkerhedskrav. Du skal dog gennemteste retningslinjerne i destinationsmiljøet. Vi anbefaler på det kraftigste, at systemadministratorer, der har behov for ekstra sikkerhedsforanstaltninger i forhold til standardindstillingerne, bruger Microsofts retningslinjer som udgangspunkt for deres virksomheds behov. Hvis du ønsker support eller har spørgsmål til tredjepartsretningslinjer, skal du kontakte det firma, der har udgivet retningslinjerne.

Referencer

Du kan finde flere oplysninger om sikkerhedsindstillingerne i vejledningen til Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP Besøg følgende Microsoft-websted for at hente denne guide:
http://technet.microsoft.com/da-dk/library/dd162275.aspx
Du kan finde flere oplysninger om virkningen af ekstra sikkerhedsindstillinger for nøgler ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823659 Manglende klient-, tjeneste- og programkompatibilitet, når du redigerer sikkerhedsindstillinger og brugerrettigheder
Du kan finde flere oplysninger om effekten af at anskaffe FIPS-kompatible algoritmer ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
811833 Effekten ved aktivering af sikkerhedsindstillingen "Systemkryptografi: Bruger FIPS-kompatible algoritmer til kryptering, hashing og signering" i Windows XP og nyere. Artiklen er evt. på engelsk.
Oplysninger om kontakt til tredjepart er taget med for at gøre det lettere for dig at finde den ønskede tekniske support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere, at kontaktoplysningerne vedrørende tredjepart er nøjagtige. Oplysninger om, hvordan du kontakter tredjepartsleverandører, finder du ved at klikke på et af nedenstående artikelnumre for at få vist artiklen i Microsoft Knowledge Base:
65416 Kontaktoplysninger for hardware- og softwareleverandører, A-K . Artiklen er evt. på engelsk.

60781 Kontaktoplysninger for hardware- og softwareleverandører, L-P . Artiklen er evt. på engelsk.

60782 Kontaktoplysninger for hardware- og softwareleverandører, Q-Å . Artiklen er evt. på engelsk.

Egenskaber

Artikel-id: 885409 - Seneste redigering: 8. april 2009 - Redigering: 7.3
Oplysningerne i denne artikel gælder:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 MultiLanguage Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 MultiLanguage Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server MultiLanguage Version
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Datacenter Server
Nøgleord: 
kbsectools kbhowto kbsecurity KB885409

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com