Поддержка руководств по обеспечению безопасности

Переводы статьи Переводы статьи
Код статьи: 885409 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Майкрософт, центр Center for Internet Security (CIS), Агентство национальной безопасности США (NSA), Агентство по оборонным информационным системам США (DISA) и Национальный институт стандартов и технологий США (NIST) опубликовали рекомендации по обеспечению безопасности Microsoft Windows.

Поскольку внедрение высокого уровня безопасности, рекомендуемого некоторыми из этих руководств, может значительно ограничить возможности системы, перед применением конкретных рекомендаций следует выполнить полное тестирование системы. Корпорация Майкрософт рекомендует соблюдать особую осторожность при выполнении действий, перечисленных ниже.
  • Изменение списков управления доступом (ACL) для файлов и разделов реестра
  • Включение параметра Клиент сети Microsoft: использовать цифровую подпись (всегда)
  • Включение параметра Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля
  • Включение параметра Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания
  • Отключение cлужбы автоматического обновления или фоновой интеллектуальной службы передачи (BITS)
  • Отключение службы входа в сеть
  • Включение параметра NoNameReleaseOnDemand
Корпорация Майкрософт поддерживает разработку руководств по обеспечению безопасности для систем, требующих повышенной защищенности, однако рекомендует при использовании подобных руководств выполнять полную проверку работоспособности системы. Если параметры системы безопасности, используемые по умолчанию, не удовлетворяют требованиям конкретной организации, корпорация Майкрософт рекомендует выполнять дальнейшую настройку системы безопасности в соответствии с руководствами, разработанными корпорацией Майкрософт. При использовании руководств сторонних разработчиков для получения поддержки и консультаций обращайтесь к разработчику руководства.

Введение

В последние несколько лет ряд организаций, включая корпорацию Майкрософт, центр Center for Internet Security, Агентство по национальной безопасности США, Агентство по оборонным информационным системам США и Национальный институт стандартов и технологий США, опубликовали рекомендации по обеспечению безопасности Microsoft Windows. Как правило, введение дополнительных мер безопасности ограничивает возможности системы.

Поэтому некоторые руководства по обеспечению безопасности (включая руководства, разработанные корпорацией Майкрософт, центром CIS и институтом NIST) содержат описание нескольких уровней безопасности. Эти уровни могут быть предназначены для следующих целей:
  • Обеспечение безопасного взаимодействия со старыми версиями операционных систем
  • Поддержка безопасности окружения на уровне организации
  • Обеспечение усиленных мер безопасности, ограничивающее функциональность

    Примечание. Данный уровень часто называют уровнем с повышенной безопасностью и ограниченными возможностями или высоким уровнем безопасности.
Этот уровень используется компьютерами, работающими в исключительно небезопасной среде, где велик риск проведения атаки против данного компьютера. Он обеспечивает защиту особо важных данных (например, сведений, используемых правительственными системами). Как правило, высокий уровень безопасности, описываемый в большинстве подобных руководств, не нужен для компьютеров с операционной системой Windows. Корпорация Майкрософт не рекомендует использование этого уровня на обычных рабочих станциях. Высокий уровень безопасности рекомендуется использовать только на компьютерах, несанкционированный доступ к которым может привести к гибели людей, потере особо важных данных или значительным финансовым убыткам.

Руководства по обеспечению безопасности разрабатывались корпорацией Майкрософт совместно с несколькими группами специалистов. Во многих случаях данные руководства содержат инструкции по решению схожих проблем. Однако они разрабатывались с учетом различных законодательных норм, локальных политик и требований к функциональности. Поэтому наборы рекомендаций, содержащиеся в различных руководствах, могут отличаться друг от друга. Основные особенности этих руководств рассматриваются в разделе "Организации, опубликовавшие руководства по обеспечению безопасности" данной статьи.

Дополнительная информация

Организации, опубликовавшие руководства по обеспечению безопасности

Корпорация Майкрософт

Корпорация Майкрософт опубликовала руководство по обеспечению безопасности операционных систем собственной разработки. В этом руководстве определены следующие три уровня безопасности:
  • Корпоративный клиент (EC)
  • Изолированный (SA)
  • Уровень с повышенной безопасностью и ограниченными возможностями (SSLF)
Рекомендации, содержащиеся в данном руководстве, были неоднократно проверены пользователями и могут применяться всеми организациями, стремящимися обеспечить безопасность компьютеров с операционной системой Windows.

Корпорация Майкрософт всесторонне проверила работоспособность рекомендаций, содержащихся в ее руководствах, на предмет совместимости приложений и оказывает полную поддержку по внедрению этих рекомендаций. Чтобы загрузить руководства по обеспечению безопасности, разработанные корпорацией Майкрософт, посетите веб-сайты, перечисленные ниже.Вопросы и комментарии, связанные с внедрением рекомендаций, которые изложены в руководствах корпорации Майкрософт по обеспечению безопасности, направляйте по адресу secwish@microsoft.com.

Center for Internet Security

Центр CIS разработал набор тестов, предназначенных для помощи организациям в принятии решения о выборе того или иного уровня безопасности. Предлагаются тесты для трех уровней безопасности:
  • безопасное взаимодействие с устаревшими версиями операционных систем;
  • безопасность на уровне предприятия;
  • высокий уровень безопасности.
Вопросы и комментарии, связанные с внедрением наборов тестов, которые разработаны центром CIS, направляйте в центр CIS по адресу win2k-feedback@cisecurity.org.

Примечание. Рекомендации центра CIS были изменены после первоначальной публикации этой статьи (3 ноября 2004 г.). В настоящее время рекомендации центра CIS приближены к рекомендациям, предоставляемым корпорацией Майкрософт. Дополнительные сведения о рекомендациях корпорации Майкрософт см. в разделе "Корпорация Майкрософт" выше.

Национальный институт стандартов и технологий

NIST отвечает за обеспечение безопасности федерального правительства Соединенных Штатов. В руководствах института NIST выделяются четыре уровня безопасности, описанных ниже. Эти руководства используются агентствами федерального правительства США, коммерческими и общественными организациями.
  • Уровень безопасности для малых офисов и домашних пользователей.
  • Безопасное взаимодействие с устаревшими версиями операционных систем.
  • Безопасность на уровне предприятия.
  • Уровень с повышенной безопасностью и ограниченными возможностями.
Вопросы и комментарии, связанные с внедрением рекомендаций, которые разработаны институтом NIST, направляйте по адресу itsec@nist.gov.

Примечание. Рекомендации института NIST были изменены после первоначальной публикации этой статьи (3 ноября 2004 г.). В настоящее время рекомендации центра NIST приближены к рекомендациям, предоставляемым корпорацией Майкрософт. Дополнительные сведения о рекомендациях корпорации Майкрософт см. в разделе "Корпорация Майкрософт" выше.

Агентство по оборонным информационным системам

DISA разрабатывает руководства по обеспечению безопасности для Министерства обороны США. Пользователи, работающие в министерстве обороны США, могут направлять вопросы и комментарии, возникающие при внедрении рекомендаций DISA, по адресу fso_spt@ritchie.disa.mil.

Примечание. Рекомендации DISA были изменены после первоначальной публикации этой статьи (3 ноября 2004 г.). В настоящее время рекомендации, предоставляемые DISA и корпорацией Майкрософт, идентичны или очень похожи. Дополнительные сведения о рекомендациях корпорации Майкрософт см. в разделе "Корпорация Майкрософт" выше.

Агентство национальной безопасности (NSA)

В NSA были разработаны рекомендации по обеспечению безопасности компьютеров Министерства обороны США, для которых высок риск атаки. Эти рекомендации описывают один уровень безопасности, примерно соответствующий высокому уровню безопасности, описываемому в руководствах других организаций.

Вопросы и комментарии, связанные с внедрением рекомендаций, которые изложены в руководствах агентства NSA по обеспечению безопасности Windows XP, направляйте по адресу XPGuides@nsa.gov. Вопросы и комментарии, связанные с внедрением рекомендаций, которые изложены в руководствах по обеспечению безопасности Windows 2000, направляйте по адресу w2kguides@nsa.gov.

Примечание. Рекомендации NSA были изменены после первоначальной публикации этой статьи (3 ноября 2004 г.) В настоящее время рекомендации, предоставляемые NSA и корпорацией Майкрософт, идентичны или очень похожи. Дополнительные сведения о рекомендациях корпорации Майкрософт см. в разделе "Корпорация Майкрософт" выше.

Проблемы, возникающие при внедрении рекомендаций по обеспечению безопасности

Как было отмечено выше, применение высоких уровней безопасности, описанных в некоторых руководствах, значительно ограничивает функциональные возможности системы. Поэтому при внедрении подобных руководств необходимо выполнять полную проверку работоспособности системы.

Примечание. Параметры безопасности, необходимые для обеспечения безопасного взаимодействия с устаревшими операционными системами, а также для обеспечения безопасности на уровне предприятия или безопасности для домашних пользователей и малых офисов, не оказывают существенного влияния на возможности системы. Поэтому данная статья большей частью посвящена рекомендациям по обеспечению высокого уровня безопасности.

Корпорация Майкрософт поддерживает разработку руководств по обеспечению безопасности систем, требующих повышенной защищенности. Майкрософт ставит своей целью разработку всесторонне проверенных рекомендаций по обеспечению безопасности и сотрудничает с организациями, разрабатывающими стандарты безопасности. Руководства по обеспечению безопасности, разрабатываемые сторонними организациями, всегда содержат строгие предупреждения о необходимости тщательной проверки работоспособности системы, в которой планируется внедрение высокого уровня безопасности. Однако этим предупреждениям не всегда уделяется должное внимание. Тщательно проверьте все параметры системы безопасности в целевой среде. Параметры системы безопасности, значения которых отличаются от значений, рекомендованных корпорацией Майкрософт, могут свести на нет результаты проверки совместимости приложений, которая выполняется в рамках проверки работоспособности операционной системы. Кроме того, корпорация Майкрософт и другие разработчики рекомендуют выполнять пробное внедрение параметров системы безопасности не в производственной, а только в тестовой среде.

Высокие уровни безопасности, описанные в данных руководствах, предусматривают несколько параметров, к применению которых следует подходить с особой осторожностью. Эти параметры обеспечивают дополнительные преимущества для безопасности, но могут негативно влиять на возможности системы.

Изменение списков управления доступом для файлов и разделов реестра

В Microsoft Windows Vista, Microsoft Windows XP и Microsoft Windows Server 2003 используется достаточно строгая система разрешений. Поэтому отсутствует необходимость существенного изменения разрешений по умолчанию.

Изменение списков управления доступом может полностью или частично свести на нет результаты проверки совместимости приложений, которая выполнялась корпорацией Майкрософт. Как правило, корпорация Майкрософт не проверяет влияние подобных изменений на работоспособность системы, однако обращения в службу технической поддержки и опыт эксплуатации систем показывают, что изменение списков управления доступом может непредвиденным образом отразиться на работе операционной системы. Подобные изменения влияют на совместимость и стабильность работы приложений, а также уменьшают производительность и функциональные возможности системы.

По этой причине не рекомендуется изменять системные списки управления доступом для файлов операционной системы на рабочих компьютерах. Корпорация Майкрософт рекомендует перед внесением каких-либо изменений в списки управления доступом с целью блокировки известной угрозы оценить влияние этих изменений на работоспособность конкретной системы. По этой причине руководства по обеспечению безопасности, разработанные корпорацией Майкрософт, предусматривают минимальное количество изменений в списках управления доступом. Эти изменения предназначены только для компьютеров с операционной системой Windows 2000. Изменения описываются в руководстве Windows 2000 Security Hardening Guide ("Укрепление системы безопасности Windows 2000").

Изменения разрешений, которые затрагивают системный реестр и файловую систему, не могут быть отменены. Эти изменения могут влиять на новые папки (например, папки профилей пользователей), которые отсутствовали при установке операционной системы. Поэтому после удаления параметра групповой политики, выполняющего изменение списков управления доступом, а также после установки настроек по умолчанию невозможно восстановить исходные значения в списках управления доступом.

При внесении изменений в список управления доступом для папки %SystemDrive% могут возникать следующие проблемы.
  • Корзина не работает должным образом и не позволяет восстанавливать файлы.
  • Уменьшается уровень безопасности, что позволяет пользователям, не обладающим правами администратора, просматривать содержимое корзины администратора.
  • Профили пользователей не работают должным образом.
  • Уменьшается уровень безопасности, что позволяет текущему пользователю получить право на чтение профилей других пользователей.
  • Загрузка в объект групповой политики большого количества изменений в списке управления доступом может увеличивать время входа в систему и вызывать самопроизвольную перезагрузку компьютера.
  • Компьютер может самопроизвольно завершать работу каждые 16 часов или при каждом применении параметров групповой политики.
  • Может нарушаться совместимость приложений, приложения могут аварийно завершать работу.
В соответствии с контрактом на техническую поддержку корпорация Майкрософт помогает пользователям устранять негативное влияние изменений прав доступа к файлам и реестру. Однако в настоящее время отменить подобные изменения невозможно. Единственным способом, гарантирующим восстановление конфигурации операционной системы по умолчанию, является форматирование жесткого диска и повторная установка операционной системы.

Например, изменения списков управления доступом к реестру затрагивают большое количество кустов реестра и могут привести к непредсказуемому изменению поведения системы. Изменения списков управления доступом к отдельным разделам реестра в меньшей степени влияют на работоспособность системы. Однако корпорация Майкрософт рекомендует перед внесением любых подобных изменений тщательно оценивать и проверять их влияние на систему. Также необходимо учитывать, что единственным способом, гарантирующим восстановление конфигурации операционной системы по умолчанию, является форматирование жесткого диска и повторная установка операционной системы.

Клиент сети Майкрософт: использовать цифровую подпись (всегда)

После включения данного параметра клиентские компьютеры будут подписывать пакеты протокола SMB даже при подключении к серверам, которые не требуют подписывания SMB, что увеличивает степень защиты от атак, основанных на захвате сеанса. Это очень важно, однако клиенты, на которых включен данный параметр, не смогут подключаться к серверам, на которых не включены параметры Сервер сети Майкрософт: использовать цифровую подпись (всегда) или Сервер сети Майкрософт: использовать цифровую подпись (с согласия клиента).

Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля

После включения данного параметра при изменении пароля не будет сохраняться хеш-значение LAN Manager для нового пароля. Хеш-функция, используемая LAN Manager, является менее надежной и более уязвимой для атак, чем хеш-функция Microsoft Windows NT. Включение данного параметра увеличивает защищенность системы и снижает вероятность успешного применения стандартных средств подбора пароля, однако может отрицательно влиять на работоспособность некоторых приложений.

Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания

После включения данного параметра службы IIS и браузер Microsoft Internet Explorer будут использовать только протокол TLS 1.0. Если данный параметр включен на сервере IIS, то к этому серверу смогут подключаться только веб-браузеры, поддерживающие протокол TLS 1.0. Если данный параметр включен на клиентском компьютере, то этот клиент сможет подключаться только к серверам, поддерживающим протокол TLS 1.0. Эти требования могут ограничивать возможности по подключению клиентов к веб-сайтам, поддерживающим протокол SSL. Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт:
811834 PRB: После включения поддержки FIPS-совместимых алгоритмов для шифрования не удается обратиться к веб-сайтам, использующим протокол SSL (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Кроме того, при включении данного параметра на сервере служб терминалов к этому серверу смогут подключаться только компьютеры, использующие клиент RDP версии 5.2 или более поздней.

Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт:
811833 Результаты применения параметра безопасности "Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания" в Windows XP и более поздних версиях (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Отключена служба автоматического обновления или фоновая интеллектуальная служба передачи (BITS)

Одним из ключевых положений стратегии обеспечения безопасности, разработанной корпорацией Майкрософт, является обеспечение своевременной установки последних обновлений. Это реализуется с помощью службы автоматического обновления. Данная служба используется как Центром обновления Windows, так и службами Software Update. Служба автоматического обновления использует фоновую интеллектуальную службу передачи (BITS). Компьютеры, на которых эти службы отключены, не могут получать обновления с веб-узла Центра обновления Windows через службу автоматического обновления, а также от служб Software Update (SUS) и с некоторых серверов Microsoft Systems Management Server (SMS). Эти службы следует отключать только в тех системах, где предусмотрен эффективный механизм распространения обновлений, не зависящий от службы BITS.

Отключена служба входа в сеть

Компьютеры, на которых отключена служба входа в сеть, не могут надежно функционировать в качестве членов домена. Отключение службы входа в сеть может выполняться на компьютерах, не входящих в домен, и только после предварительной оценки.

NoNameReleaseOnDemand

После включения данного параметра сервер не изменяет свое имя NetBIOS, если оно конфликтует с именем другого компьютера в сети. Это позволяет предотвратить некоторые атаки типа "отказ в обслуживании", вызывающие сбои в работе серверов, которые выполняют разрешение имен и другие важные функции.

После включения данного параметра на рабочей станции она не изменяет свое имя NetBIOS, даже если оно конфликтует с именем контроллера домена или другого компьютера, выполняющего более важную роль в сети. Поэтому использование данного параметра может вызывать сбои в работе домена. Корпорация Майкрософт поддерживает разработку руководств по обеспечению безопасности систем, требующих повышенной защищенности, однако рекомендует при использовании подобных руководств выполнять полную проверку работоспособности системы. Если параметры системы безопасности, используемые по умолчанию, не удовлетворяют требованиям конкретной организации, корпорация Майкрософт рекомендует выполнять дальнейшую настройку системы безопасности в соответствии с руководствами, разработанными корпорацией Майкрософт. При использовании руководств сторонних разработчиков для получения поддержки и консультаций обращайтесь к разработчику руководства.

Ссылки

Дополнительные сведения о параметрах системы безопасности см. в руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP. Чтобы загрузить данное руководство, обратитесь на веб-сайт корпорации Майкрософт по адресу
http://technet.microsoft.com/ru-ru/library/dd162275.aspx
Дополнительные сведения о влиянии некоторых параметров безопасности на работоспособность системы см. в следующей статье базы знаний Майкрософт:
823659 Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей
Дополнительные сведения о влиянии выбора FIPS-совместимых алгоритмов на работоспособность системы см. в следующей статье базы знаний Майкрософт:
811833 Результаты применения параметра безопасности "Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания" в Windows XP и более поздних версиях (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Контактные данные сторонних организаций предоставляются с целью помочь пользователям получить необходимую техническую поддержку. Они могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних организаций. Контактные данные независимых поставщиков см. в одной из следующих статей базы знаний Майкрософт:
65416 Список адресов независимых поставщиков оборудования и программного обеспечения, A — K

60781 Список адресов независимых поставщиков оборудования и программного обеспечения, L — Р

60782 Список адресов независимых поставщиков оборудования и программного обеспечения, Q — Z

Свойства

Код статьи: 885409 - Последний отзыв: 16 мая 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Windows 7 Корпоративная
  • Windows 7 Домашняя базовая
  • Windows 7 Домашняя расширенная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbsectools kbhowto kbsecurity KB885409

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com