Information om säkerhetsguider

Under de senaste åren har ett antal organisationer, däribland Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) och National Institute of Standards and Technology (NIST) publicerat säkerhetsguider för konfiguration av Windows. Som alla säkerhetsguider har dessa ofta en negativ inverkan på användbarheten.

Bland annat guider från Microsoft, CIS och NIST har flera olika säkerhetsnivåer för följande ändamål:

• Samverkan med äldre operativsystem
• Företagsmiljöer
• Utökad säkerhet med begränsning av funktionen
  
  Obs! Den här nivån betecknas ofta som Specialized Security-Limited Functionality eller High Security.

Nivån High Security, eller Specialized Security-Limited Functionality, är särskilt avsedd för extremt fientliga miljöer med betydande angreppsrisk. Här förvaras ytterst värdefull information, till exempel sådan som krävs av vissa statliga system. Nivån High Security i flertalet av de här offentliga guiderna är olämplig för de allra flesta datorer med Windows. Vi rekommenderar inte att nivån High Security används på arbetsstationer för allmänna ändamål. Denna nivå bör endast användas på datorer där intrång kan medföra förlust av liv, ytterst värdefull information eller stora ekonomiska värden.

Flera grupper har samarbetat med Microsoft i arbetet med att ta fram de här säkerhetsguiderna. I många fall skyddar de mot liknande hot, men varje guide skiljer sig något från de övriga på grund av juridiska krav, lokala principer och funktionskrav. På grund av detta kan inställningarna variera mellan olika guider. Avsnittet "Organisationer som tillhandahåller offentliga säkerhetsguider" innehåller en sammanfattning av de olika säkerhetsguiderna.

Organisationer som tillhandahåller offentliga säkerhetsguider

Microsoft Corporation

Microsoft tillhandahåller guider för säkring av våra egna operativsystem. Vi använder tre säkerhetsnivåer:

• Enterprise Client (EC)
• Stand-Alone (SA)
• Specialized Security ? Limited Functionality (SSLF)

Vi har testat dessa guider för användning i många olika kundscenarier, och de lämpar sig för alla organisationer som vill säkra sina Windows-datorer.

Vi kan stödja våra guider fullt ut tack vare de omfattande kompatibilitetstester vi har genomfört. Guiderna kan hämtas från följande Microsoft-webbplatser:

• Säkerhetsguide för Windows Vista:
  http://technet.microsoft.com/sv-se/library/bb629420.aspx

  (http://technet.microsoft.com/sv-se/library/bb629420.aspx)
• Windows XP Security Guide:
  http://technet.microsoft.com/sv-se/library/cc163061.aspx

  (http://technet.microsoft.com/sv-se/library/cc163061.aspx)
• Windows Server 2003 Security Guide:
  http://technet.microsoft.com/sv-se/library/cc163140.aspx

  (http://technet.microsoft.com/sv-se/library/cc163140.aspx)
• Windows 2000 Security Hardening Guide:
  http://technet.microsoft.com/sv-se/library/dd277465.aspx

  (http://technet.microsoft.com/sv-se/library/dd277465.aspx)

Om du har några problem eller kommentarer efter att ha implementerat Microsofts säkerhetsguider kan du skicka feedback via ett e-postmeddelande till secwish@microsoft.com.

The Center for Internet Security

CIS har utvecklat normer som hjälper organisationer att fatta informerade beslut om vissa tillgängliga säkerhetsalternativ: CIS använder tre säkerhetsnivåer:

• Legacy
• Enterprise
• High Security

Om du har några problem eller kommentarer efter att ha implementerat CIS-normerna kan du kontakta CIS genom att skicka ett e-postmeddelande till win2k-feedback@cisecurity.org.

Obs! CIS:s säkerhetsguide har ändrats sedan vi först publicerade den här artikeln (3 november 2004). CIS:s nuvarande säkerhetsguide liknarriktlinjerna från Microsoft. Mer information om riktlinjerna från Microsoft finns i avsnittet "Microsoft Corporation" längre upp i den här artikeln.

The National Institute of Standards and Technology

NIST tar fram säkerhetsguider för USA:s regering. NIST har fyra säkerhetsnivåer som används av amerikanska federala myndigheter, privata organisationer och offentliga organisationer:

• SoHo
• Legacy
• Enterprise
• Specialized Security?Limited Functionality

Om du har några problem eller frågor efter implementering av NIST:s säkerhetsnormer kan du skicka ett e-postmeddelande till itsec@nist.gov.

Obs! NIST:s guider har ändrats sedan vi först publicerade den här artikeln (3 november 2004). NIST:s nuvarande säkerhetsguide liknar riktlinjerna från Microsoft. Mer information om riktlinjerna från Microsoft finns i avsnittet "Microsoft Corporation" längre upp i den här artikeln.

The Defense Information Systems Agency

DISA tar fram riktlinjer för det amerikanska försvarsdepartementet. Användare inom det amerikanska försvarsdepartementet som har problem eller kommentarer efter att ha implementerat DISA:s riktlinjer kan skicka ett e-postmeddelande till fso_spt@ritchie.disa.mil.

Obs! DISA:s säkerhetsguide har ändrats sedan vi först publicerade den här artikeln (3 november 2004). DISA:s aktuella säkerhetsguide liknar eller är identisk med riktlinjerna från Microsoft. Mer information om riktlinjerna från Microsoft finns i avsnittet "Microsoft Corporation" längre upp i den här artikeln.

The National Security Agency (NSA)

NSA har tagit fram riktlinjer för säkring av högriskdatorer i det amerikanska försvarsdepartementet. NSA:s enda nivå motsvarar ungefär andra organisationers High Security-nivå.

Om du har några problem eller frågor efter implementering av NSA:s säkerhetsguider för Windows XP kan du skicka ett e-postmeddelande till XPGuides@nsa.gov. Om du vill ge feedback om säkerhetsguiderna för Windows 2000 skickar du ett e-postmeddelande till w2kguides@nsa.gov.

Obs! NSA:s säkerhetsguide har ändrats sedan vi först publicerade den här artikeln (3 november 2004). NSA:s aktuella säkerhetsguide liknar eller är identisk med riktlinjerna från Microsoft. Mer information om säkerhetsguider från Microsoft finns i avsnittet "Microsoft Corporation" längre upp i den här artikeln.

Problem med säkerhetsguider

Som redan nämnts begränsas datorns funktion av de höga säkerhetsnivåerna i vissa av de här guiderna. Därför bör du testa datorn ordentligt innan du genomför rekommendationerna.

Obs! Åtgärderna för Legacy-, SoHo- och Enterprise-nivåerna har inte rapporterats påverka datorns funktion i hög grad. Den här Knowledge Base-artikeln handlar i första hand om den högsta säkerhetsnivån.

Vi stöder branschens ansträngningar att ta fram säkerhetsguider för distribution i områden som kräver hög säkerhet. Vi fortsätter att samarbeta med grupper som tar fram säkerhetsstandarder för att utveckla användbara och ordentligt testade riktlinjer. I säkerhetsguider betonas alltid att de måste testas ordentligt i miljöer som kräver hög säkerhet, men detta sker inte alltid. Testa alla säkerhetskonfigurationer noga i målmiljön. Säkerhetsinställningar som avviker från rekommendationerna kan medföra att kompatibilitetstester av operativsystemet inte blir giltiga. Dessutom avråder vi och andra företag särskilt från att tillämpa preliminära riktlinjer i en verklig produktionsmiljö i stället för i en testmiljö.

I de höga säkerhetsnivåerna ingår flera inställningar som bör övervägas noga innan de implementeras. Även om inställningarna kan ge ytterligare fördelar för säkerheten kan de också påverka användbarheten negativt.

Ändringar av åtkomstkontrollistor för filsystem och register

Windows Vista, Microsoft Windows XP och Microsoft Windows Server 2003 har betydligt strängare systembehörigheter än tidigare. Därför krävs inte längre några omfattande förändringar av standardbehörigheterna.

Ytterligare ändringar av åtkomstkontrollistor kan medföra att resultaten av alla eller flertalet kompatibilitetstester som utförs av Microsoft inte längre är tillförlitliga. Ofta har sådana ändringar inte testats lika ingående som andra inställningar. Supportfall och erfarenheter på fältet visar att ändringar av åtkomstkontrollistor förändrar operativsystemets grundläggande funktion, ofta på oavsedda sätt. Dessa ändringar påverkar programmens kompatibilitet och stabilitet samt reducerar dess prestanda och kapacitet.

På grund av dessa ändringar rekommenderar vi inte ändringar av systemåtkomstkontrollistor för filer som ingår i operativsystem på datorer i produktionsmiljö. Vi rekommenderar att nackdelarna med ytterligare ändringar av åtkomstkontrollistor vägs mot kända hot. Av dessa skäl innehåller våra guider bara ytterst små ändringar av åtkomstkontrollistor och endast för Windows 2000, där det krävs flera ändringar. Dessa beskrivs i Windows 2000 Security Hardening Guide.

Omfattande behörighetsändringar som sprids i hela registret och filsystemet kan inte ångras. Nya mappar, till exempel användarprofilmappar som inte fanns vid den ursprungliga installationen av operativsystemet, kan påverkas. Om du tar bort en grupprincipinställning som innebär ändringar av åtkomstkontrollistor eller använder systemstandardvärdena, kan du därför inte återställa de ursprungliga åtkomstkontrollistorna.

Ändringar av åtkomstkontrollistan i mappen %SystemDrive% kan få följande konsekvenser:

• Papperskorgen fungerar inte längre som avsett, och filer kan inte återställas.
• Säkerheten sänks så att en icke-administratör kan visa innehållet i administratörens papperskorg.
• Användarprofiler fungerar inte som förväntat.
• Säkerheten sänks så att interaktiva användare får läsbehörighet för vissa eller alla användarprofiler på datorn.
• Prestandaproblem uppstår när många ändringar av åtkomstkontrollistor laddas i ett grupprincipobjekt med långa inloggningstider eller upprepade omstarter av måldatorn.
• Prestandaproblem, inklusive sänkt hastighet, ungefär var sextonde timme när grupprincipinställningar tillämpas på nytt.
• Programkompatibilitetsproblem eller programkrascher.

Microsoft kommer att göra alla rimliga ansträngningar enligt supportavtalet för att undanröja de mest negativa resultaten av sådana fil- och registerbehörigheter. För närvarande är det emellertid inte möjligt att återställa ändringarna. Vi kan bara garantera att du kan återgå till de rekommenderade inställningarna efter installationen genom att formatera om hårddisken och installera om operativsystemet.

Ändringar av registrets åtkomstkontrollnycklar kan till exempel påverka stora delar av registreringsdatafilerna och kan medföra att datorn inte längre fungerar som förväntat. Ändringar av åtkomstkontrollistor för enstaka registernycklar innebär mindre problem på många datorer. Vi rekommenderar emellertid att du noga överväger och testar dessa ändringar innan du genomför dem. Även i detta fall kan vi bara garantera att du kan återgå till de rekommenderade inställningarna efter installationen om du formaterar om och installerar om operativsystemet.

Klient för Microsoft-nätverk: signera kommunikation digitalt (alltid)

När du aktiverar den här inställningen måste SMB-trafik (Server Message Block) signeras av klienter vid kontakt med servrar som inte kräver SMB-signering. Detta gör klienter mindre sårbara för sessionskapning. Inställningen har ett betydande värde, men utan en liknande ändring på servern för aktivering av Klient för Microsoft-nätverk: signera kommunikation digitalt (alltid) eller Klient för Microsoft-nätverk: signera kommunikation digitalt (om klienten tillåter) kan klienten inte kommunicera med servern.

Nätverkssäkerhet: Lagra inte Lan Manager-hash-värden vid nästa lösenordsändring

När den här inställningen aktiveras lagras inte Lan Manager-hash-värdet för ett nytt lösenord när lösenordet ändras. Lan Manager-hash-algoritmen är relativt svag och mer utsatt för angrepp än den kryptografiskt starkare Microsoft Windows NT-hash-algoritmen. Samtidigt som den här inställningen gör datorn säkrare genom att hindra användningen av många vanliga verktyg som används för att knäcka lösenord, kan den också hindra vissa program från att starta eller köras på rätt sätt.

Datorkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, skapa hashing och signering

När den här inställningen aktiveras används endast protokollet TLS (Transport Layer Security) 1.0 i Microsoft IIS (Internet Information Services) och Microsoft Internet Explorer. Om inställningen aktiveras på en IIS-server kan endast webbläsare som stöder TLS 1.0 ansluta. Om inställningen aktiveras på en webbklient kan klienten endast ansluta till servrar som stöder protokollet TLS 1.0. Det här kravet kan påverka klientens förmåga att besöka webbplatser där SSL (Secure Sockets Layer) används. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
När inställningen aktiveras på en server med Terminal Services tvingas klienter dessutom att använda RDP-klienten 5.2 eller senare för att ansluta.

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

Automatisk upppdatering eller BITS (Background Intelligent Transfer Service) är inaktiverat

Ett centralt inslag i Microsofts säkerhetsstrategi är att datorer alltid ska vara uppdaterade. En viktig del i strategin är Automatiska uppdateringar, som används både på Windows Update och på Software Update Services. Automatiska uppdateringar bygger på BITS (Background Intelligent Transfer Service). Om de här tjänsterna inaktiveras kan datorer inte längre ta emot uppdateringar från Windows Update genom Automatiska uppdateringar, från SUS (Software Update Services) eller från vissa Microsoft SMS-installationer (Systems Management Server). Tjänsterna bör endast inaktiveras på datorer med ett effektivt system för distribution av uppdateringar som inte bygger på BITS.

NetLogon-tjänsten är inaktiverad

Om NetLogon-tjänsten inaktiveras fungerar arbetsstationer inte längre tillförlitligt som domänmedlemmar. Inställningen kan vara lämplig för vissa datorer som inte ingår i domäner men bör utvärderas noga före distribution.

NoNameReleaseOnDemand

Den här inställningen förhindrar att en server ger upp ett NetBIOS-namn som står i konflikt med en annan dator i nätverket. Inställningen är ett bra sätt att förebygga DOS-attacker på namnservrar och andra kritiska serverroller.

När inställningen aktiveras på en arbetsstation vägrar arbetsstationen att ge upp sitt NetBIOS-namn, även om namnet står i konflikt med namnet på en viktigare dator, till exempel en domänkontrollant. I det här scenariot kan viktiga domänfunktioner inaktiveras. Microsoft stöder på alla sätt branschens ansträngningar att ta fram säkerhetsguider för distributioner i områden som kräver hög säkerhet. Guiderna måste emellertid testas noggrant i målmiljön. Vi rekommenderar starkt att systemadministratörer som behöver ytterligare säkerhetsinställningar utöver standardinställningarna använder Microsofts guider som utgångspunkt för organisationens krav. För support eller frågor angående guider från andra tillverkare hänvisas till den utgivande organisationen.

Mer information om säkerhetsinställningar finns i Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP. Denna guide kan hämtas från följande Microsoft-webbplats: Om du vill veta mer om effekterna av vissa viktiga ytterligare säkerhetsinställningar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base: Om du vill veta mer om effekterna av krav på FIPS-kompatibla algoritmer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base: Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt. Om du vill veta hur du kontaktar andra leverantörer klickar du på lämpligt artikelnummer i listan nedan och läser artikeln i Microsoft Knowledge Base: