Veiledningsstøtte for sikkerhetskonfigurasjon

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 885409 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Microsoft, Center for Internet Security (Senter for Internett-sikkerhet) (CIS), National Security Agency (Det nasjonale sikkerhetsbyrået) (NAS), Defense Information Systems Agency (Byrået for forsvarsinformasjonssystemer) (DIAS) og National Institute of Standards and Technology (Nasjonalt institutt for standarder og teknologi) (NIST) har gitt ut "veiledning for sikkerhetskonfigurasjon" for Microsoft Windows.

Det høye sikkerhetsnivået som er angitt i noen av disse veiledningene, kan redusere funksjonaliteten til systemet i stor grad. Du bør derfor foreta omfattende tester før du følger anbefalingene. Vi anbefaler at du tar din forholdsregler når du gjør følgende:
  • Redigerer tilgangskontrollister (ACLer) for filer og registernøkler
  • Aktiverer Microsoft nettverksklient: Signer kommunikasjon digitalt (alltid)
  • Aktiverer Nettverkssikkerhet: Ikke lagre nummerverdi for LAN Manager ved neste passordendring
  • Aktiverer Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering
  • Deaktiverer Automatisk oppdateringstjeneste eller Background Intelligent Transfer Service (BITS)
  • Deaktiverer NetLogon-tjenesten
  • Aktiverer NoNameReleaseOnDemand
Microsoft støtter fullt ut bransjens arbeid med å tilby sikkerhetsveiledning for distribusjon i organisasjoner med høy sikkerhet. Du må imidlertid teste veiledningen grundig i målmiljøet. Hvis du må ha flere sikkerhetsinnstillinger i tillegg til standardinnstillingene, anbefaler vi på det sterkeste at du ser i veiledningene som Microsoft har gitt ut. Disse veiledningene kan danne grunnlaget for kravene i organisasjonen. Hvis du vil ha kundestøtte eller du har spørsmål angående veiledninger fra tredjeparter, kontakter du dem som har gitt ut veiledningen.

Innledning

I løpet av de siste årene har flere organisasjoner, inkludert Microsoft, Center for Internet Security (Senter for Internett-sikkerhet) (CIS), National Security Agency (Det nasjonale sikkerhetsbyrået) (NAS), Defense Information Systems Agency (Byrået for forsvarsinformasjonssystemer) (DIAS) og National Institute of Standards and Technology (Nasjonalt institutt for standarder og teknologi) (NIST) gitt ut "veiledning for sikkerhetskonfigurasjon" for Windows. I likhet med de fleste veiledninger går behovet for økt sikkerhet ut over brukervennligheten.

Flere av disse veiledningene, inkludert de fra Microsoft, CIS og NIST, inneholder sikkerhetsinnstillinger på flere nivåer. Disse veiledningene kan omfatte nivåer som er beregnet på følgende:
  • Interoperabilitet med eldre operativsystemer
  • Bedriftsmiljøer
  • Utvidet sikkerhet som gir begrenset funksjonalitet

    Obs!  Dette nivået omtales ofte som nivået for spesiell sikkerhet med begrenset funksjonalitet eller Høy sikkerhet.
Nivået Høy sikkerhet, eller spesiell sikkerhet og begrenset funksjonalitet, er utviklet for ekstremt utsatte miljøer som det er svært stor sjanse for at kan bli angrepet. Dette nivået beskytter informasjon av aller høyeste viktighet, for eksempel informasjon som kreves for noen systemer innen statsforvaltningen. Nivået Høy sikkerhet i de fleste delene i denne veiledningen passer ikke for de aller fleste systemer som kjører Windows. Vi anbefaler at du ikke bruker nivået Høy sikkerhet på arbeidsstasjoner som brukes til vanlige dataoppgaver. Vi anbefaler at du bare bruker nivået Høy sikkerhet på systemer der skader ville føre til tap av liv, svært verdifull informasjon eller store pengesummer.

Flere grupper har arbeidet sammen med Microsoft for å utvikle disse sikkerhetsveiledningene. I mange tilfeller omhandler disse veiledningene lignende trusler. På grunn av juridiske krav, lokale retningslinjer og krav til funksjonalitet, er hver veiledning litt forskjellig fra de andre. Det kan derfor hende at innstillingene varierer fra ett sett med anbefalinger til det neste. Delen Organisasjoner som publiserer sikkerhetsveiledninger som er offentlig tilgjengelige, inneholder et sammendrag av hver sikkerhetsveiledning.

Mer informasjon

Organisasjoner som publiserer sikkerhetsveiledninger som er offentlig tilgjengelige

Microsoft Corporation

Microsoft tilbyr veiledning for hvordan du kan hjelpe til med å beskytte våre egne operativsystemer. Vi har utviklet følgende tre nivåer for sikkerhetsinnstilling:
  • Enterprise Client (EC)
  • Stand-Alone (Frittstående, SA)
  • Specialized Security ? Limited Functionality (Spesiell sikkerhet og begrenset funksjonalitet, SSLF)
Vi har testet denne veiledningen grundig i mange forskjellige kundescenarier. Denne veiledningen passer for organisasjoner som vil beskytte sine Windows-datamaskiner.

Vi kan gå god for våre veiledninger fordi vi har gjennomført omfattende tester på veiledningene i våre laboratorier for programkompatibilitet. Gå til følgende Microsoft-webområder for å laste ned veiledningene:Hvis du får problemer eller du har kommentarer etter at du har implementert Microsofts sikkerhetsveiledninger, kan du gi oss tilbakemelding ved å sende e-post til secwish@microsoft.com.

Senter for Internett-sikkerhet

(CIS) har utviklet standardverdier som er utformet for å gi informasjon som hjelper organisasjoner med å ta velbegrunnede beslutninger angående tilgjengelige sikkerhetsalternativer. CIS har utviklet tre nivåer for sikkerhetsstandardverdier:
  • Legacy (Vanlig)
  • Enterprise (Organisasjon)
  • High Security (Høy sikkerhet)
Hvis du får problemer eller du har kommentarer etter at du har implementert CISs standardverdiinnstillinger, kontakter du CIS ved å sende e-post til win2k-feedback@cisecurity.org.

Obs!  Veiledningen fra CIS har blitt endret etter at vi først publiserte denne artikkelen (03.11.04). Den gjeldende veiledningen fra CIS ligner på veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese delen om Microsoft Corporation tidligere i denne artikkelen.

Nasjonalt institutt for standarder og teknologi

(NIST) er ansvarlig for å lage sikkerhetsveiledninger for USAs føderale myndigheter. NIST har utviklet fire nivåer for sikkerhetsveiledning som brukes av USAs føderale byråer, private organisasjoner og offentlige organisasjoner:
  • SoHo
  • Legacy (Vanlig)
  • Enterprise (Organisasjon)
  • Specialized Security?Limited Functionality (Spesiell sikkerhet og begrenset funksjonalitet)
Hvis du får problemer eller du har kommentarer etter at du har implementert NISTs sikkerhetsmaler, kontakter du NIST ved å sende e-post til itsec@nist.gov.

Obs!  Veiledningen fra NIST har blitt endret etter at vi først publiserte denne artikkelen (03.11.04). Den gjeldende veiledningen fra NIST ligner på veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese delen om Microsoft Corporation tidligere i denne artikkelen.

Byrået for forsvarsinformasjonssystemer

(DISA) utvikler veiledninger spesielt tilpasset Forsvarsdepartementet. Ansatte i USAs forsvarsdepartement som har fått problemer eller som har kommentarer etter at de har implementert DISAs konfigurasjonsveiledning, kan sende sin tilbakemelding i e-post til fso_spt@ritchie.disa.mil.

Obs!  Veiledningen fra DISA har blitt endret etter at vi først publiserte denne artikkelen (03.11.04). Den gjeldende veiledningen fra DISA ligner på veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese delen om Microsoft Corporation tidligere i denne artikkelen.

Det nasjonale sikkerhetsbyrået (NSA)

har laget retningslinjer som skal hjelpe til med å beskytte datamaskiner i forsvarsdepartementet som er svært risikoutsatte. NSA har utviklet et veiledningsnivå som omtrent tilsvarer nivået Høy sikkerhet, som er utviklet av andre organisasjoner.

Hvis du får problemer eller du har kommentarer etter at du har implementert NSAs sikkerhetsveiledninger for Windows XP, kan du gi oss tilbakemelding ved å sende e-post til XPGuides@nsa.gov. Når du skal gi oss tilbakemelding angående Windows 2000-veiledningene, sender du e-post til w2kguides@nsa.gov.

Obs!  Veiledningen fra NSA har blitt endret etter at vi først publiserte denne artikkelen (03.11.04). Den gjeldende veiledningen fra NSA ligner på veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese delen om Microsoft Corporation tidligere i denne artikkelen.

Problemer med sikkerhetsveiledning

Som nevnt tidligere i denne artikkelen er sikkerhetsnivåene som beskrives i noen av disse veiledningene, utformet for betydelig å redusere funksjonaliteten til et system. På grunn av disse begrensningene bør du teste systemet grundig før du følger disse anbefalingene.

Obs!  Det er ikke rapportert at sikkerhetsveiledningen som gis for nivåene Legacy, SoHo og Enterprise påvirker funksjonaliteten til systemet i stor grad. Denne Knowledge Base-artikkelen omhandler først og fremst veiledningen som er tilknyttet det høyeste sikkerhetsnivået.

Vi støtter fullt ut bransjens arbeid med å tilby sikkerhetsveiledning for distribusjon i organisasjoner med høy sikkerhet. Vi fortsetter å arbeide sammen med sikkerhetsstandardgrupper for å utvikle nyttige veiledninger for økt sikkerhet som er grundig testet. Sikkerhetsretningslinjer fra tredjeparter gis alltid ut med sterke oppfordringer om å teste retningslinjene i målmiljøer med høy sikkerhet grundig. Disse oppfordringene blir imidlertid ikke alltid fulgt. Pass på at du tester alle sikkerhetskonfigurasjoner i målmiljøet grundig. Sikkerhetsinnstillingene som skiller seg fra dem vi anbefaler, kan ugyldiggjøre testingen av programkompatibiliteten som utføres som en del av prosessen med å teste operativsystemet. Vi og tredjeparter fraråder dessuten å implementere den uferdige veiledningen i et aktivt produksjonsmiljø, i stedet for et testmiljø.

De høye nivåene i disse sikkerhetsveiledningene omfatter flere innstillinger du bør evaluere grundig før du bruker dem. Selv om disse innstillingene kan øke sikkerheten, kan de også redusere brukervennligheten til systemet.

Kontrollisteendringer for filsystem og registertilgang

Windows Vista, Microsoft Windows XP og Microsoft Windows Server 2003 har betydelig redusert tillatelsene i hele systemet. Derfor er det ikke nødvendig med omfattende endringer i standardtillatelsene.

Andre ACL-endringer kan ugyldiggjøre alle eller de fleste testinger av programkompatibilitet som utføres av Microsoft. Endringer som disse er ofte ikke blitt så grundig testet av Microsoft som andre innstillinger. Henvendelser til kundestøtte og erfaringer fra reelle situasjoner har vist at ACL-redigeringer endrer den grunnleggende virkemåten til operativsystemet, ofte på utilsiktede måter. Disse endringene påvirker programkompatibiliteten og -stabiliteten og reduserer funksjonaliteten, både når det gjelder ytelse og funksjon.

På grunn av disse endringene, anbefaler vi ikke at du endrer filsystem-ACLene for filer som er inkludert i operativsystemet i produksjonssystemer. Vi anbefaler at du vurderer andre ACL-endringer opp mot en kjent trussel for å forstå mulige fordeler som endringene kan gi en bestemt konfigurasjon. På grunn av dette gir veiledningene våre bare svært små ACL-endringer, og bare for Windows 2000. For Windows 2000 må flere små endringer gjøres. Disse endringene er beskrevet i Veiledning for økt sikkerhet for Windows 2000.

Omfattende tillatelsesendringer som gjennomføres i hele registret og filsystemet, kan ikke gjøres om. Nye mapper, for eksempel brukerprofilmapper, som ikke var opprettet ved den første installasjonen av operativsystemet, kan påvirkes. Hvis du fjerner en gruppepolicyinnstilling som foretar ACL-endringer, eller hvis du bruker standardinnstillingene for systemet, kan du ikke gjenopprette de opprinnelige ACLene.

Endringer i ACL i %SystemDrive%-mappen kan føre til følgende:
  • Papirkurven fungerer ikke slik den pleier, og filer kan ikke gjenopprettes.
  • Reduksjon av sikkerheten som gjør det mulig for en bruker som ikke er administrator å vise innholdet i administratorens Papirkurv.
  • Brukerprofiler fungerer ikke som forventet.
  • Reduksjon av sikkerheten som gir interaktive brukere lesetilgang til noen eller alle profiler på systemet.
  • Ytelsesproblemer når mange ACL-redigeringer lastes inn i et gruppepolicyobjekt. Dermed tar det lang tid å logge på, eller målsystemet starter på nytt flere ganger.
  • Ytelsesproblemer, inkludert reduksjon av systemhastigheten, omtrent hver 16. time når gruppepolicyinnstillinger brukes på nytt.
  • Problemer med programkompatibilitet eller at programmer ikke fungerer.
Så langt det er økonomisk forsvarlig, vil Microsoft yte hjelp i henhold til kundestøttekontrakten for å hjelpe deg med å fjerne de verste resultatene av slike fil- og registertillatelser. Du kan imidlertid ikke tilbakestille disse endringene. Vi kan bare garantere at du kan gjenopprette de anbefalte, OOB-innstillingene ved å formatere harddisken og installere operativsystemet på nytt.

Endringer i for eksempel register-ACLer påvirker store deler av registerstrukturen og kan føre til at systemet ikke fungerer som forventet. Endring i ACLene i én enkelt registernøkkel fører til færre problemer i mange systemer. Vi anbefaler imidlertid at du nøye vurderer og tester disse endringene før du tar dem i bruk. Vi kan også nå bare garantere at du kan gjenopprette de anbefalte, utradisjonelle innstillingene hvis du formaterer harddisken og installerer operativsystemet på nytt.

Microsoft nettverksklient: Signer kommunikasjon digitalt (alltid)

Når du aktiverer denne innstillingene, må klienter signere SMB-trafikk (Server Message Block) når de kontakter servere som ikke krever SMB-signering. Dermed blir klienter mindre sårbare overfor øktkontrollangrep. Den har stor betydning, men uten å aktivere en lignende endring på serveren for å aktivere Microsoft nettverksserver: Signer kommunikasjon digitalt (alltid) eller Microsofts nettverksklient: Hvis du signerer kommunikasjon digitalt (hvis klienten godtar det), vil ikke klienten kunne kommunisere ordentlig med serveren.

Nettverkssikkerhet: Ikke lagre nummerverdi for LAN Manager ved neste passordendring

Når du aktiverer denne innstillingen, lagres ikke nummerverdien for LAN Manager (LM) for et nytt passord når passordet endres. LM-nummerverdien er relativt svak og utsatt for angrep sammenlignet med den kryptografisk sterkere Microsoft Windows NT-nummerverdien. Mens denne innstillingen beskytter systemet ytterligere ved å hindre at mange vanlige verktøy ikke finner frem til passord, kan innstillingen føre til at noen programmer ikke starter og fungerer ordentlig.

Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering

Når du aktiverer denne innstillingen, bruker Internet Information Services (IIS) og Microsoft Internet Explorer bare protokollen Transport Layer Security (TLS) 1.0. Hvis denne innstillingen er aktivert på en server som kjører IIS, kan bare weblesere som støtter TLS 1.0, koble seg til. Hvis denne innstillingen er aktivert på en webklient, kan klienten bare koble seg til servere som støtter TLS 1.0-protokollen. Dette kravet kan påvirke klienters mulighet til å gå til webområder som bruker Secure Sockets Layer (SSL). Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
811834 Kan ikke besøke SSL-områder etter at du aktiverer FIPS-kompatibel kryptografi (denne artikkelen kan være på engelsk)

Når du i tillegg aktiverer denne innstillingen på en server som bruker Terminal Services, tvinges klienter til å bruke RDP-klient 5.2 eller senere versjoner for å koble seg til.

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
811833 Effektene ved å muliggjøre sikkerhetsinnstillingen systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering i Windows XP og senere Windows-versjoner (denne artikkelen kan være på engelsk)

Automatisk oppdateringstjeneste eller Background Intelligent Transfer Service (BITS) er deaktivert

En av hovedsakene i Microsofts sikkerhetsstrategi er å sikre at systemer holder seg oppdatert. En hovedkomponent i denne strategien er Automatiske oppdateringer. Både Windows Update og Software Update Services bruker Automatiske oppdateringer. Automatiske oppdateringer er avhengig av Background Intelligent Transfer Service (BITS). Hvis disse tjenestene er deaktivert, kan ikke lenger datamaskiner motta oppdateringer fra Windows Update via Automatiske oppdateringer, fra Software Update Services (SUS) eller fra enkelte Microsoft Systems Management Server-installasjoner (SMS). Disse tjenestene bør bare deaktiveres på systemer som har en effektiv oppdateringsdistribusjon som ikke er avhengig av BITS.

NetLogon-tjenesten er deaktivert

Hvis du deaktiverer NetLogon-tjenesten, fungerer ikke lenger en arbeidsstasjon pålitelig som et domenemedlem. Denne innstillingen kan passe for noen datamaskiner som ikke deltar i domener, men det bør vurderes nøye før den tas i bruk.

NoNameReleaseOnDemand

Denne innstillingen hindrer en server i å oppgi NetBIOS-navnet hvis det er i konflikt med en annen datamaskin på nettverket. Denne innstillingen er et godt preventivt tiltak for tjenestenektangrep (DoS) mot navneservere og andre viktige serverroller.

Når du aktiverer denne innstillingen på en arbeidsstasjon, nekter arbeidsstasjonen å oppgi NetBIOS-navnet, selv om navnet er i konflikt med navnet på et viktigere system, for eksempel en domenekontroller. Dette scenariet kan deaktivere viktig domenefunksjonalitet. Microsoft støtter fullt ut bransjens arbeid med å tilby sikkerhetsveiledning som er ment for distribusjon i organisasjoner med høy sikkerhet. Denne veiledningen må imidlertid testes grundig i målmiljøet. Vi anbefaler på det sterkeste at systemadministratorer som må ha flere sikkerhetsinnstillinger i tillegg til standardinnstillingene, bruker veiledningene som er gitt ut av Microsoft som et utgangspunkt for kravene i organisasjonen. Hvis du vil ha kundestøtte eller du har spørsmål angående veiledninger fra tredjeparter, kan du kontakte de som har gitt ut veiledningen.

Referanser

Hvis du vil ha mer informasjon om sikkerhetsinnstillinger, kan du se i The Threats and Countermeasures Guide: Security Settings in Windows XP and Windows Server 2003. Hvis du vil laste ned denne veiledningen, går du til følgende Microsoft-webområde:
http://technet.microsoft.com/nb-no/library/dd162275.aspx
Hvis du vil ha mer informasjon om virkningen av flere sentrale sikkerhetsinnstillinger, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823659 Klient-, tjeneste- og programinkompatibilitet som kan oppstå når du endrer sikkerhetsinnstillinger og tilordninger av brukerrettigheter
Hvis du vil ha mer informasjon om effektene ved å kreve FIPS-kompatible algoritmer, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
811833 Effektene ved å muliggjøre sikkerhetsinnstillingen systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering i Windows XP og senere versjoner (denne artikkelen kan være på engelsk)
Microsoft tilbyr kontaktopplysninger om tredjeparter, noe som hjelper deg med å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til disse kontaktopplysningene om tredjeparter. Hvis du vil ha mer informasjon om hvordan du kontakter tredjepartsleverandører, klikker du riktig artikkelnummer i følgende liste for å vise artikkelen i Microsoft Knowledge Base:
65416 Kontaktinformasjon for maskinvare- og programvareleverandør, A-K (denne artikkelen kan være på engelsk)

60781 Kontaktinformasjon for maskinvare- og programvareleverandør, L-P (denne artikkelen kan være på engelsk)

60782 Kontaktinformasjon for maskinvare- og programvareleverandør, Q-Å (denne artikkelen kan være på engelsk)

Egenskaper

Artikkel-ID: 885409 - Forrige gjennomgang: 7. april 2009 - Gjennomgang: 7.3
Informasjonen i denne artikkelen gjelder:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 MultiLanguage Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 MultiLanguage Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server MultiLanguage Version
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Datacenter Server
Nøkkelord: 
kbsectools kbhowto kbsecurity KB885409

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com