Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) och National Institute of Standards and Technology (NIST) har publicerat "vägledning om säkerhetskonfiguration" för Microsoft Windows.

De höga säkerhetsnivåerna som anges i vissa av de här guiderna kan avsevärt begränsa funktionaliteten i ett system. Därför bör du utföra betydande tester innan du distribuerar dessa rekommendationer. Vi rekommenderar att du vidtar ytterligare försiktighetsåtgärder när du gör följande:

  • Redigera åtkomstkontrolllistor för filer och registernycklar

  • Aktivera Microsoft-nätverksklienten: Signera kommunikation digitalt (alltid)

  • Aktivera nätverkssäkerhet: Lagra inte HASH-värde för LAN Manager vid nästa lösenordsändring

  • Aktivera systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hash-kodning och signering

  • Inaktivera tjänsten Automatisk uppdatering eller intelligent bakgrundsöverföringstjänst (BITS)

  • Inaktivera NetLogon-tjänsten

  • Aktivera NoNameReleaseOnDemand

Microsoft ger starkt stöd för branscharbete för att tillhandahålla säkerhetsvägledning för distributioner inom högsäkerhetsområden. Du måste dock noggrant testa vägledningen i målmiljön. Om du behöver ytterligare säkerhetsinställningar utöver standardinställningarna rekommenderar vi att du ser de Microsoft-utfärdade guiderna. De här guiderna kan fungera som utgångspunkt för organisationens krav. Om du behöver support eller har frågor om guider från tredje part kontaktar du den organisation som utfärdat vägledningen.

Inledning

Under de senaste åren har ett antal organisationer, bland annat Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) och National Institute of Standards and Technology (NIST), publicerat "vägledning om säkerhetskonfiguration" för Windows. Precis som alla säkerhetsvägledningar har den extra säkerhet som krävs ofta en negativ påverkan på användbarheten.

Flera av de här guiderna, bland annat guiderna från Microsoft, från CIS och FRÅN NIST, innehåller flera nivåer av säkerhetsinställningar. De här guiderna kan innehålla nivåer som utformats för följande:

  • Interoperabilitet med äldre operativsystem

  • Företagsmiljöer

  • Förbättrad säkerhet som ger begränsad funktionalitet Observera att den här nivån ofta kallas för nivån

    Specialsäkerhet – Begränsad funktionalitet eller Hög säkerhetsnivå.

Nivån hög säkerhet, eller särskild säkerhet – begränsad funktionalitet, är utformad specifikt för mycket miljöer som är under betydande risk för attack. Den här nivån av information om högsta möjliga värde, till exempel information som krävs av vissa myndigheter. Den höga säkerhetsnivån i de flesta av de här offentliga råden är olämplig för de flesta system som kör Windows. Vi rekommenderar att du inte använder hög säkerhetsnivå på allmänna arbetsstationer. Vi rekommenderar att du endast använder hög säkerhetsnivå för system där en kompromettation skulle orsaka förlust av liv, förlust av mycket värdefull information eller förlust av stora mängder pengar.

Flera grupper samarbetade med Microsoft för att ta fram de här säkerhetsguiderna. I många fall är det här guiderna som hjälper alla att hantera liknande hot. Varje guide skiljer sig dock något på grund av juridiska krav, lokal policy och funktionella krav. På grund av detta kan inställningarna variera från en uppsättning rekommendationer till nästa. Avsnittet "Organisationer som producerar allmänt tillgänglig säkerhetsvägledning" innehåller en sammanfattning av varje säkerhetsguide.

Mer information

Organisationer som producerar allmänt tillgänglig säkerhetsvägledning

Microsoft Corporation

Microsoft tillhandahåller vägledning för hur du skyddar våra egna operativsystem. Vi har utvecklat följande tre nivåer av säkerhetsinställningar:

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Särskild säkerhet – begränsad funktionalitet (SSLF)

Vi har testat den här vägledningen noggrant för användning i många kundscenarier. Vägledningen är lämplig för alla organisationer som vill hjälpa till att skydda sina Windows-baserade datorer.

Vi ger fullt stöd för våra guider på grund av den omfattande testning vi har utfört i våra programkompatibilitet på de guiderna. Ladda ned våra guider på följande Microsoft-webbplatser:

Om du upplever problem eller har kommentarer efter att du implementerat Microsofts säkerhetsguider kan du ge feedback genom att skicka ett e-postmeddelande till secwish@microsoft.com.



Vägledning för säkerhetskonfiguration för Windows-operativsystemet, för Internet Explorer och för Office-produktivitetspaketet finns i Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


The Center for Internet Security

CIS har utvecklat riktvärden för att tillhandahålla information som hjälper organisationer att fatta välgrundade beslut om vissa tillgängliga säkerhetsalternativ. CIS har tillhandahållit tre nivåer av säkerhets riktvärden:

  • Äldre

  • Enterprise

  • Hög säkerhet

Om du får problem eller har kommentarer efter att du implementerat prestandainställningarna för CIS kontaktar du CIS genom att skicka ett e-postmeddelande till win2k-feedback@cisecurity.org.

Not CIS vägledning har ändrats sedan vi ursprungligen publicerade den här artikeln (3 november 2004). CIS aktuella vägledning liknar de riktlinjer som Microsoft tillhandahåller. Mer information om vägledningen som Microsoft tillhandahåller finns i avsnittet "Microsoft Corporation" tidigare i den här artikeln.

The National Institute of Standards and Technology

NIST ansvarar för att skapa säkerhetsvägledning för den amerikanska federala staten. NIST har skapat fyra nivåer av säkerhetsvägledning som används av USA:s federala myndigheter, privata organisationer och offentliga organisationer:

  • SoHo

  • Äldre

  • Enterprise

  • Särskild säkerhet – begränsad funktionalitet

Om du har problem eller har kommentarer efter att du implementerat NIST-säkerhetsmallarna kontaktar du NIST genom att skicka ett e-postmeddelande till itsec@nist.gov.

Observera att NIST:s riktlinjer har ändrats sedan vi ursprungligen publicerade den här artikeln (3 november 2004). NIST:s aktuella vägledning liknar de riktlinjer som Microsoft tillhandahåller. Mer information om vägledningen som Microsoft tillhandahåller finns i avsnittet "Microsoft Corporation" tidigare i den här artikeln.

The Defense Information Systems Agency

DISA skapar vägledning specifikt för användning i UNITED States Department of Defense (DOD). USA-användare som upplever problem eller har kommentarer när de implementerat DISA-konfigurationsvägledningen kan ge feedback genom att skicka ett e-postmeddelande till fso_spt@ritchie.disa.mil.

Obs! Vägledningen för DISA har ändrats sedan vi ursprungligen publicerade den här artikeln (3 november 2004). DISA:s aktuella vägledning liknar eller är identisk med vägledningen som Microsoft tillhandahåller. Mer information om vägledningen som Microsoft tillhandahåller finns i avsnittet "Microsoft Corporation" tidigare i den här artikeln.

National Security Agency (NSA)

NSA har tagit fram vägledning för att hjälpa till att skydda högriskdatorer i UNITED States Department of Defense (DOD). NSA har utvecklat en enda vägledningsnivå som i stort motsvarar hög säkerhetsnivå som produceras av andra organisationer.

Om du har problem eller har kommentarer efter att du implementerat NSA-säkerhetsguiderna för Windows XP kan du lämna feedback genom att skicka ett e-postmeddelande till XPGuides@nsa.gov. Om du vill ge feedback om guiderna för Windows 2000 kan du skicka ett e-postmeddelande till w2kguides@nsa.gov.

Note NSA's guidance has changed since we originally published this article (November 3, 2004). NSA:s aktuella vägledning liknar eller är identisk med vägledningen som Microsoft tillhandahåller. Mer information om vägledningen som Microsoft tillhandahåller finns i avsnittet "Microsoft Corporation" tidigare i den här artikeln.

Problem med säkerhetsproblem

Som vi nämnde tidigare i den här artikeln har de höga säkerhetsnivåerna som beskrivs i vissa av de här guiderna utformats för att avsevärt begränsa funktionaliteten i ett system. På grund av denna begränsning bör du noggrant testa ett system innan du distribuerar dessa rekommendationer.

Observera att säkerhetsvägledning som tillhandahålls för SoHo-, Legacy- eller Enterprise-nivåerna inte har rapporterats för att påverka systemfunktionerna allvarligt. Den här Knowledge Base-artikeln fokuserar främst på vägledningen som är associerad med den högsta säkerhetsnivån. 

Vi stöder starkt branscharbete för att tillhandahålla säkerhetsvägledning för distributioner inom högsäkerhetsområden. Vi fortsätter att arbeta med grupper med säkerhetsstandarder för att utveckla användbara härdningsvägledning som har testats helt. Riktlinjer för säkerhet från tredje part utfärdas alltid med starka varningar för att fullt ut testa riktlinjerna i målmiljöer med hög säkerhet. De här varningarna bör dock inte alltid hedas. Kontrollera att du noggrant testar alla säkerhetskonfigurationer i målmiljön. Andra säkerhetsinställningar än de som vi rekommenderar kan göra att test av programkompatibilitet som utförs som en del av testprocessen för operativsystemet blir ogiltiga. Dessutom avråder vi och tredje parter specifikt från att använda utkastvägledning i en direkt produktionsmiljö i stället för i en testmiljö.

De höga nivåerna av dessa säkerhetsguider innehåller flera inställningar som du bör utvärdera noggrant innan du implementerar dem. Även om de här inställningarna kan ge ytterligare säkerhetsfördelar kan inställningarna påverka systemets användbarhet negativt.

Ändringar av filsystem- och registeråtkomstlistor

Windows XP och senare versioner av Windows har avsevärt mindre behörigheter i hela systemet. Därför behövs inte omfattande ändringar av standardbehörigheter. 

Ytterligare godtyckliga ändringar av åtkomstkontrollista (DACL) kan göra att alla eller de flesta av de programkompatibilitetstestning som utförs av Microsoft blir ogiltiga. Ofta har ändringar som dessa inte genomgått någon genomgående testning som Microsoft har utfört på andra inställningar. Supportärenden och fältupplevelse har visat att DACL-redigeringar ändrar operativsystemets grundläggande beteende, ofta på oväntade sätt. Dessa ändringar påverkar programmets kompatibilitet och stabilitet och försämrar funktionaliteten, med hänsyn till både prestanda och funktion.

På grund av de här ändringarna rekommenderar vi att du inte ändrar filsystemetS URL-adresser för filer som ingår i operativsystemet i produktionssystem. Vi rekommenderar att du utvärderar eventuella ytterligare ACL-ändringar mot ett känt hot för att förstå potentiella fördelar som ändringarna kan låna ut i en viss konfiguration. Därför gör våra guider endast mycket minimala DACL-ändringar och endast för Windows 2000. För Windows 2000 krävs flera mindre ändringar. Dessa ändringar beskrivs i Windows 2000-guiden för säkerhetshårdning.

Omfattande behörighetsändringar som sprids i hela registret och filsystemet kan inte ångras. Nya mappar, till exempel användarprofilmappar som inte fanns i den ursprungliga installationen av operativsystemet, kan påverkas. Om du tar bort en grupprincip som utför DACL-ändringar eller använder systemets standardinställningar kan du därför inte återställa de ursprungliga URL:erna. 

Ändringar av DACL i mappen %SystemDrive% kan orsaka följande scenarier:

  • Papperskorgen fungerar inte längre som den är utformad och det går inte att återställa filer.

  • En minskning av säkerheten som gör att användare som inte är administratörer kan se innehållet i administratörens papperskorg.

  • Användarprofiler fungerar inte som förväntat.

  • En minskning av säkerheten som ger interaktiva användare läsåtkomst till vissa eller alla användarprofiler i systemet.

  • Prestandaproblem när många DACL-ändringar läses in i ett grupprincip-objekt som innehåller långa inloggningstider eller upprepade omstarter av målsystemet.

  • Prestandaproblem, inklusive långsamma systemproblem, per 16 timmar eller grupprincip tillämpas på nytt.

  • Programkompatibilitetsproblem eller programmet kraschar.

För att hjälpa dig att ta bort de värsta resultaten av sådana fil- och registerbehörigheter tillhandahåller Microsoft kommersiellt rimliga åtgärder i enlighet med ditt supportavtal. För närvarande kan du dock inte återställa dessa ändringar. Vi kan bara garantera att du kan återgå till de rekommenderade inaktiva inställningarna genom att formatera om hårddisken och installera om operativsystemet.

T.ex. påverkas stora delar av registerna av ändringar i registret, vilket kan leda till att system inte längre fungerar som förväntat. Att ändra URL:er för enskilda registernycklar kan vara mindre av ett problem för många system. Vi rekommenderar dock att du noga överväger och testar ändringarna innan du implementerar dem. Vi kan återigen garantera att du bara kan återgå till de rekommenderade informaterade inställningarna om du formaterar om och installerar om operativsystemet.

Microsoft-nätverksklient: Signera meddelanden digitalt (alltid)

När du aktiverar den här inställningen måste klienter signera SMB-trafik (Server Message Block) när de kontaktar servrar som inte kräver SMB-signering. Det gör klienter mindre sårbara för sessionsattacker. Det tillför betydande värde, men utan att göra en liknande ändring på servern för att aktivera Microsofts nätverksserver: signera kommunikation digitalt (alltid) eller Microsoft-nätverksklient:Signera kommunikationen digitalt (om klienten samtycker) så kan klienten inte kommunicera med servern.

Nätverkssäkerhet: Lagra inte HASH-värde för LAN Manager vid nästa lösenordsändring

När du aktiverar den här inställningen lagras inte LM-hashvärdet (LAN Manager) för ett nytt lösenord när lösenordet ändras. LM-hash är relativt svag och ofta utsatt för angrepp jämfört med den kryptografiskt starkare Microsoft Windows NT-hashen. Den här inställningen ger omfattande ytterligare säkerhet för ett system genom att förhindra många vanliga verktyg för lösenordsstuckande, men inställningen kan förhindra att vissa program startas eller körs korrekt.

Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hash-kod och signering

När du aktiverar den här inställningen Internet Information Services endast TLS 1.0-protokollet (Transport Layer Security) för IIS (IIS) och Microsoft Internet Explorer. Om den här inställningen är aktiverad på en server som kör IIS kan endast webbläsare med stöd för TLS 1.0 ansluta. Om den här inställningen är aktiverad för en webbklient kan klienten bara ansluta till servrar som stöder TLS 1.0-protokollet. Det här kravet kan påverka en klients möjlighet att besöka webbplatser som använder SSL (Secure Sockets Layer) (SSL). Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

811834 Det går inte att besöka SSL-webbplatser när du har aktiverar FIPS-kompatibel kryptering. När du aktiverar den här inställningen på en server som använder Terminal Services tvingas klienter dessutom att använda RDP-klienten 5.2 eller senare versioner för att
ansluta.

Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

811833 Effekterna av aktivering av säkerhetsinställningen "Systemkryptografi: Använda FIPS-kompatibla algoritmer för kryptering, hash-kodning och signering" i Windows XP och i senare versioner av Windows

Tjänsten Automatisk uppdatering eller intelligent bakgrundsöverföringstjänst (BITS) är inaktiverad

En av nyckelpelarna i Microsofts säkerhetsstrategi är att se till att system hålls aktuella på uppdateringar. En nyckelkomponent i den här strategi är tjänsten Automatiska uppdateringar. Både Windows Update- och Programuppdatering-tjänster använder tjänsten Automatiska uppdateringar. Tjänsten Automatiska uppdateringar använder BITS (Background Intelligent Transfer Service). Om de här tjänsterna är inaktiverade kan datorerna inte längre ta emot uppdateringar från Windows Update via Automatiska uppdateringar, från SUS (Software Update Services) eller från vissa SMS-installationer (Microsoft Systems Management Server). Dessa tjänster bör endast inaktiveras på system som har ett effektivt uppdateringsdistributionssystem som inte förlitar sig på BITS.

NetLogon-tjänsten är inaktiverad

Om du inaktiverar NetLogon-tjänsten fungerar inte en arbetsstation längre tillförlitligt som domänmedlem. Den här inställningen kan vara lämplig för vissa datorer som inte ingår i domäner. Den bör dock utvärderas noggrant innan den distribueras.

NoNameReleaseOnDemand

Den här inställningen förhindrar att en server lämnar tillbaka NetBIOS-namnet om det står i konflikt med en annan dator i nätverket. Den här inställningen är en bra förebyggande åtgärd för denial of service-attacker mot namnservrar och andra mycket viktiga serverroller.

När du aktiverar den här inställningen på en arbetsstation avvisar arbetsstationen sitt NetBIOS-namn även om namnet står i konflikt med namnet på ett viktigare system, till exempel en domänkontrollant. Det här scenariot kan inaktivera viktiga domänfunktioner. Microsoft stödjer starkt branscharbetet med att tillhandahålla säkerhetsvägledning som är riktad mot distributioner inom högsäkerhetsområden. Men den här vägledningen måste testas noggrant i målmiljön. Vi rekommenderar att systemadministratörer som kräver ytterligare säkerhetsinställningar utöver standardinställningarna använder de Microsoft-utfärdade guiderna som utgångspunkt för organisationens krav. Om du behöver support eller har frågor om guider från tredje part kontaktar du den organisation som utfärdat vägledningen.

Referenser

Mer information om säkerhetsinställningar finns i Hot och motåtgärder: Säkerhetsinställningar i Windows Server 2003 och Windows XP. Du kan hämta den här guiden på följande Microsoft-webbplats:

http://go.microsoft.com/fwlink/?LinkId=15159Om du vill ha mer information om effekten av vissa ytterligare viktiga säkerhetsinställningar klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

823659 Klient-, tjänst- och programkompatibilitet som kan uppstå när du ändrar säkerhetsinställningar och tilldelningar av användarrättigheterFör mer information om effekterna av att kräva FIPS-kompatibla algoritmer, klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

811833 Effekterna av aktivering av säkerhetsinställningen "Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hash-kod och signering" i Windows XP och senare versionerMicrosoft tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.


Information om din maskinvarutillverkare finns på Microsofts webbplats:

http://support.microsoft.com/gp/vendors/en-us

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×