Pomoc techniczna w zakresie konfiguracji zabezpieczeń

Microsoft Corporation

Firma Microsoft udostępnia wskazówki dotyczące zabezpieczania naszych systemów operacyjnych. Opracowaliśmy następujące trzy poziomy ustawień zabezpieczeń:

• Klient przedsiębiorstwa (EC)

• Stand-Alone (SA)

• Specjalistyczne zabezpieczenia — ograniczona funkcjonalność (SSLF)

Dokładnie przetestowaliśmy te wskazówki do użytku w wielu scenariuszach dla klientów. Wskazówki te są odpowiednie dla każdej organizacji, która chce chronić swoje komputery z systemem Windows.

W pełni obsługujemy nasze przewodniki ze względu na rozbudowane testy, które przeprowadziliśmy w ramach naszych testów zgodności aplikacji na tych przewodnikach. Odwiedź następujące witryny internetowe firmy Microsoft, aby pobrać nasze przewodniki:

• Przewodnik po zabezpieczeniach systemu Windows Vista:
  

  http://technet.microsoft.com/en-us/library/bb629420.aspx

• Plan bazowy zabezpieczeń systemu Windows XP:

  http://go.microsoft.com/fwlink/?LinkId=14839

• Plan bazowy zabezpieczeń systemu Windows Server 2003:

  http://go.microsoft.com/fwlink/?linkid=14845

• Przewodnik po zabezpieczeniach systemu Windows 2000:
  

  http://go.microsoft.com/fwlink/?LinkId=28591

Jeśli po wdrożeniu przewodników po zabezpieczeniach firmy Microsoft wystąpią problemy lub masz komentarze, możesz przesłać opinię, wysyłając wiadomość e-mail do secwish@microsoft.com.



Wskazówki dotyczące konfiguracji zabezpieczeń dla systemu operacyjnego Windows, programu Internet Explorer i pakietu Office zwiększającego wydajność podano w Menedżerze zgodności zabezpieczeń firmy Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.

Centrum zabezpieczeń internetowych

W celu zapewnienia informacji ułatwianych organizacjom podejmowanie świadomych decyzji dotyczących pewnych dostępnych opcji zabezpieczeń WIS opracowano wzorce. W usługach cis są dostępne trzy poziomy wzorców zabezpieczeń:

• Starsze wersje

• Przedsiębiorstwo

• Wysoki poziom zabezpieczeń

Jeśli po zaimplementowaniu ustawień wzorcowych usługi cis wystąpią problemy lub pojawią się komentarze, skontaktuj się z tym programem, wysyłając wiadomość e-mail do win2k-feedback@cisecurity.org.

Uwaga: wskazówki dotyczące cis zmieniły się od czasu oryginalnie opublikowanego artykułu (3 listopada 2004 r.). Bieżące wskazówki w programie CIS przypominają wskazówki zapewniane przez firmę Microsoft. Aby uzyskać więcej informacji na temat wskazówek udzielanych przez firmę Microsoft, przeczytaj sekcję "Microsoft Corporation" wcześniej w tym artykule.

The National Institute of Standards and Technology

NIST jest odpowiedzialny za tworzenie wytycznych dotyczących zabezpieczeń dla amerykańskiego rządu federalnego. Organizacja NIST utworzyła cztery poziomy wskazówek dotyczących zabezpieczeń używanych przez instytucje federalne Stanów Zjednoczonych, organizacje prywatne i organizacje publiczne:

• SoHo

• Starsze wersje

• Przedsiębiorstwo

• Specjalistyczne zabezpieczenia — ograniczona funkcjonalność

Jeśli po zaimplementowaniu szablonów zabezpieczeń NIST wystąpią problemy lub pojawią się komentarze, skontaktuj się z NIST, wysyłając wiadomość e-mail do itsec@nist.gov.

Uwaga: wskazówki dotyczące NIST uległy zmianie od oryginalnie opublikowanego artykułu (3 listopada 2004 r.). Bieżące wskazówki NIST przypominają wskazówki, które dostarcza firma Microsoft. Aby uzyskać więcej informacji na temat wskazówek udzielanych przez firmę Microsoft, przeczytaj sekcję "Microsoft Corporation" wcześniej w tym artykule.

Agencja ds. Obrony Systemów Informacyjnych

Disa tworzy wskazówki przeznaczone specjalnie do użycia w Dziale Obrony Stanów Zjednoczonych (DOD). Użytkownicy dod w Stanach Zjednoczonych, którzy mają problemy lub mają komentarze po wdrożeniu wytycznych dotyczących konfiguracji disa, mogą przekazać opinię, wysyłając wiadomość e-mail do fso_spt@ritchie.disa.mil.

Zwróć uwagę, że wskazówki dotyczące disa uległy zmianie od czasu oryginalnie opublikowanego artykułu (3 listopada 2004 r.). Bieżące wskazówki dotyczące rozwiązania DISA są podobne lub identyczne z wytycznymi firmy Microsoft. Aby uzyskać więcej informacji na temat wskazówek udzielanych przez firmę Microsoft, przeczytaj sekcję "Microsoft Corporation" wcześniej w tym artykule.

Państwowa Agencja Bezpieczeństwa (NSA)

NSA przygotowało wskazówki dotyczące zabezpieczania komputerów wysokiego ryzyka w Dziale Obrony Stanów Zjednoczonych (DOD). Organizacja NSA opracowała jeden poziom wskazówek, który w przybliżeniu odpowiada poziomowi wysokiego poziomu zabezpieczeń, który są opracowywane przez inne organizacje.

Jeśli po zaimplementowaniu przewodników zabezpieczeń NSA dla systemu Windows XP wystąpią problemy lub masz komentarze, możesz przesłać opinię, wysyłając wiadomość e-mail do XPGuides@nsa.gov. Aby przekazać opinię na temat przewodników po systemie Windows 2000, wyślij wiadomość e-mail do w2kguides@nsa.gov.

Uwaga: wskazówki dla NSA zmieniły się od czasu pierwotnie opublikowanego tego artykułu (3 listopada 2004 r.). Bieżące wskazówki NSA są podobne lub identyczne z wytycznymi firmy Microsoft. Aby uzyskać więcej informacji na temat wskazówek udzielanych przez firmę Microsoft, przeczytaj sekcję "Microsoft Corporation" wcześniej w tym artykule.

Modyfikacje listy kontroli dostępu do systemu plików i rejestru

W systemie Windows XP i nowszych wersjach systemu Windows uprawnienia zostały znacznie dociśone w całym systemie. Z tego powodu nie należy wprowadzać szerokich zmian w uprawnieniach domyślnych. 

Dodatkowe zmiany na liście kontroli dostępu dyskrecjonalnego (DACL, Access Control List) mogą unieważnić wszystkie lub większość testów zgodności aplikacji wykonywanych przez firmę Microsoft. Często zmiany, takie jak te, nie zostały dokładnie przetestowane przez firmę Microsoft w innych ustawieniach. Przypadki pomocy technicznej i środowisko pól pokazują, że zmiany wartości DACL często zmieniają podstawowe zachowanie systemu operacyjnego w niezamierzony sposób. Te zmiany wpływają na zgodność i stabilność aplikacji oraz zmniejszenie funkcjonalności w odniesieniu zarówno do wydajności, jak i możliwości.

Z powodu tych zmian nie zaleca się modyfikowania plików DACLs systemu plików w plikach dołączonych do systemu operacyjnego w systemach produkcyjnych. Zalecamy ocenianie wszelkich dodatkowych zmian ACL pod względem znanego zagrożenia w celu zrozumienia potencjalnych korzyści, jakie mogą wynikać z określonej konfiguracji. Z tych powodów nasze przewodniki dotyczą tylko bardzo minimalnych zmian w języku DACL i dotyczą tylko systemu Windows 2000. W systemie Windows 2000 jest wymaganych kilka drobnych zmian. Te zmiany opisano w przewodniku po zabezpieczeniach systemu Windows 2000.

Rozległych zmian uprawnień, które są propagowane w całym rejestrze i systemie plików, nie można cofnąć. Może to mieć wpływ na nowe foldery, takie jak foldery profilów użytkowników, które nie były obecne w pierwotnej instalacji systemu operacyjnego. W związku z tym usunięcie ustawienia zasady grupy, które powoduje zmianę wartości DACL lub zastosowanie ustawień domyślnych systemu, nie będzie można wycofać oryginalnych list DACLs. 

Zmiany listy dacl w folderze %SystemDrive% mogą powodować następujące scenariusze:

• Kosz nie działa już zgodnie z zamysłem i nie można odzyskać plików.

• Zmniejszenie zabezpieczeń, które umożliwia użytkownikom niebędącym administratorem wyświetlanie zawartości Kosza administratora.

• Niepowodzenie działania profilów użytkowników zgodnie z oczekiwaniami.

• Zmniejszenie zabezpieczeń, które zapewnia interakcyjnie użytkownikom dostęp do odczytu niektórych lub wszystkich profilów użytkowników w systemie.

• Problemy z wydajnością, gdy wiele zmian daCL jest ładowanych do zasady grupy, który zawiera długie godziny logowania lub powtarzające się ponowne uruchomienia systemu docelowego.

• Problemy z wydajnością, w tym spowolnienie systemu, co około 16 godzin zasady grupy ponownego wykonania ustawień.

• Problemy ze zgodnością aplikacji lub awarie aplikacji.

Aby pomóc w usunięciu najgorszych wyników takich uprawnień do plików i rejestru, firma Microsoft zapewni uzasadnione komercyjnie działania zgodne z twoją umową o świadczenie pomocy technicznej. Jednak obecnie nie można wycofać tych zmian. Możemy zagwarantować tylko możliwość powrotu do zalecanych ustawień, które są obecnie dostępne, przez ponowne sformatowanie dysku twardego i ponowne zainstalowanie systemu operacyjnego.

Na przykład modyfikacje kluczy DACLs rejestru wpływają na duże części rejestrów i mogą powodować, że systemy nie będą już działać zgodnie z oczekiwaniami. Modyfikowanie list DACLs w pojedynczych kluczach rejestru stanowi mniejszy problem dla wielu systemów. Zalecamy jednak, aby dokładnie rozważyć i przetestować te zmiany przed ich zaimplementowaniem. Ponownie możemy zagwarantować możliwość powrotu do zalecanych ustawień, które są obecnie dostępne, tylko w przypadku ponownego sformatowania i ponownego zainstalowania systemu operacyjnego.

Klient sieci firmy Microsoft: cyfrowe podpisywanie komunikacji (zawsze)

Po włączeniu tego ustawienia klienci muszą podpisać ruch blokowania wiadomości serwera (SMB, Server Message Block), gdy kontaktują się z serwerami, które nie wymagają podpisywania SMB. Dzięki temu klienci są mniej podatni na ataki podczas sesji. Zapewnia ona istotną wartość, ale bez włączania podobnej zmiany na serwerze w celu włączenia serwera sieciowego firmy Microsoft: Cyfrowe podpisywanie komunikacji (zawsze) lub klient sieci firmy Microsoft: Cyfrowe podpisywanie komunikacji (jeśli klient wyraża na to zgodę),oznacza to, że klient nie będzie mógł pomyślnie komunikować się z serwerem.

Bezpieczeństwo sieci: Nie przechowuj wartości skrótu programu LAN Manager przy następnej zmianie hasła

Po włączeniu tego ustawienia wartość skrótu nowego hasła w menedżerze SIECI LAN (LM) nie będzie przechowywana po zmianie hasła. Skrót LM jest stosunkowo słaby i podatne na ataki w porównaniu z kryptograficznie silniejszym skrótem systemu Microsoft Windows NT. Mimo że to ustawienie zapewnia dodatkowe zabezpieczenia systemu przez zapobieganie wielu częstym narzędziom do ochrony przed pęknięciem haseł, może to uniemożliwić poprawne uruchamianie niektórych aplikacji.

Kryptografia systemowa: szyfrowanie, skróty i podpisywanie przy użyciu algorytmów zgodnych ze standardem FIPS

Po włączeniu tego ustawienia program Internet Information Services (IIS) i program Microsoft Internet Explorer używają tylko protokołu TLS (Transport Layer Security) 1.0. Jeśli to ustawienie jest włączone na serwerze, na którym działa program IIS, tylko przeglądarki sieci Web, które obsługują usługę TLS 1.0, mogą nawiązywać połączenia. Jeśli to ustawienie jest włączone w kliencie sieci Web, może on łączyć się tylko z serwerami, które obsługują protokół TLS 1.0. To wymaganie może mieć wpływ na możliwość odwiedzania przez klienta witryn internetowych, które korzystają Secure Sockets Layer (SSL). Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić ten artykuł z bazy wiedzy Microsoft Knowledge Base:

811834 Nie można odwiedzić witryn SSL po włączeniu kryptografii zgodnej z protokołem FIPS. Ponadto włączenie tego ustawienia na serwerze, na którym są używane usługi terminalowe, zmusza do nawiązywania połączeń przy użyciu klienta protokołu RDP w wersji
5.2 lub nowszej.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić ten artykuł z bazy wiedzy Microsoft Knowledge Base:

811833 Efekty włączenia ustawienia zabezpieczeń "Kryptografia systemowa: używanie algorytmów zgodnych z standardem FIPS do szyfrowania, skrótów i podpisywania" w systemie Windows XP i nowszych wersjach systemu Windows

Usługa aktualizacji automatycznej lub usługa inteligentnego przenoszenia w tle (BITS) jest wyłączona

Jednym z najważniejszych podstawowych elementów strategii zabezpieczeń firmy Microsoft jest zapewnianie, że systemy są na bieżąco z aktualizacjami. Kluczową częścią tej strategii jest usługa aktualizacji automatycznych. Usługi Windows Update i Software Update korzystają z usługi aktualizacji automatycznych. Usługa aktualizacji automatycznych korzysta z usługi inteligentnego przenoszenia w tle (BITS). Jeśli te usługi są wyłączone, komputery nie będą już mogły otrzymywać aktualizacji z usługi Windows Update za pośrednictwem aktualizacji automatycznych, z usług software update (FIRMWARE) ani z niektórych instalacji programu Microsoft Systems Management Server (SMS). Te usługi powinny być wyłączone tylko w systemach, które mają efektywny system dystrybucji aktualizacji, który nie korzysta z usługi BITS.

Usługa NetLogon jest wyłączona

Wyłączenie usługi NetLogon powoduje, że stacja robocza nie działa już niezawodnie jako członek domeny. To ustawienie może być odpowiednie dla niektórych komputerów, które nie uczestniczą w domenach. Należy jednak dokładnie ocenić ten program przed wdrożeniem.

NoNameReleaseOnDemand

To ustawienie zapobiega zrzekaniu się przez serwer nazwy serwera NetBIOS, jeśli powoduje konflikt z innym komputerem w sieci. To ustawienie jest dobrym rozwiązaniem zapobiegawczym w przypadku ataków na odmowę usługi względem serwerów nazw i innych bardzo ważnych ról serwerów.

Po włączeniu tego ustawienia na stacji roboczej stacja robocza odmawia rezygnacji z nazwy urządzenia NetBIOS, nawet jeśli nazwa ta powoduje konflikt z nazwą ważniejszego systemu, takiego jak kontroler domeny. W tym scenariuszu można wyłączyć ważne funkcje domeny. Firma Microsoft zdecydowanie obsługuje działania branżowe w celu zapewnienia wskazówek dotyczących zabezpieczeń, które są kierowane do wdrożeń w obszarach o wysokim poziomie zabezpieczeń. Te wskazówki muszą jednak zostać dokładnie przetestowane w środowisku docelowym. Zdecydowanie zalecamy, aby administratorzy systemów, którzy wymagają dodatkowych ustawień zabezpieczeń poza ustawieniami domyślnymi, korzystali z przewodników wydanych przez firmę Microsoft jako punktu wyjścia dla wymagań ich organizacji. Aby uzyskać pomoc techniczną lub uzyskać odpowiedzi na pytania dotyczące przewodników innych firm, skontaktuj się z organizacją, która je wydała.