安全性設定指南支援

文章翻譯 文章翻譯
文章編號: 885409 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

Microsoft、網際網路安全中心 (CIS)、美國國家安全局 (NSA)、美國國防資訊系統局 (DISA) 及美國國家標準與技術研究院 (NIST) 已發佈適用於 Microsoft Windows 的「安全性設定指南」。

部分指南中所指定的高安全性層級可能會大幅限制系統的功能。因此,部署這些建議之前,應該先執行有效測試。我們建議您在執行下列操作時,採取額外的預防措施:
  • 針對檔案和登錄機碼編輯存取控制清單 (ACL)
  • 啟用 [Microsoft 網路用戶端: 數位簽章伺服器的通訊 (自動)]
  • 啟用 [網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值]
  • 啟用 [系統密碼編譯: 使用 FIPS 相容方法於加密,雜湊,以及簽章]
  • 停用 [自動更新服務或背景智慧型傳送服務 (BITS)]
  • 停用 [Netlogon 服務]
  • 啟用 [NoNameReleaseOnDemand]
Microsoft 強力支援企業努力針對在高安全性區域中進行的部署提供安全性指南。不過,您必須在目標環境中完整測試指南。如果您需要預設設定以外的其他安全性設定,我們強烈建議您參閱 Microsoft 所發行的指南。這些指南可做為貴組織需求的起點。如需有關協力廠商指南的支援或問題,請連絡發行該指南的組織。

簡介

在過去數年間,包括 Microsoft、網際網路安全中心 (CIS)、美國國家安全局 (NSA)、美國國防資訊系統局 (DISA) 及美國國家標準與技術研究院 (NIST) 在內的許多組織都發佈了適用於 Windows 的「安全性設定指南」。與任何安全性指南一樣,需要經常提供的額外安全性會在可用性方面造成負面影響。

這其中的數個指南 (包括來自 Microsoft、CIS 及 NIST 的指南) 會包含安全性設定的數個層級。這些指南包括針對下列各項而設計的層級:
  • 與舊版作業系統的互通性
  • 企業環境
  • 提供有限功能的增強式安全性

    注意此層級經常被稱為「特定的安全性限制功能」層級或「高安全性」層級。
「高安全性」(或「特定的安全性限制功能」) 層級是特別針對具有重大攻擊風險的極度不安全環境所設計。這個層級會防護最高可能值的資訊,例如,一些政府系統所需的資訊。此公開指南中大部分的「高安全性」層級並不適用於極大部分執行 Windows 的系統。我們建議您不要在一般用途的工作站上使用「高安全性」層級。我們建議您只有在遭到侵入而造成下列情況的系統上使用「高安全性」層級:遺失生命、遺失非常寶貴的資訊或遺失大量金錢。

這些安全性指南是由數個組織與 Microsoft 合作而產生的。在大部分的情況下,這些指南皆處理類似的威脅。不過,每個指南都會因為法律要求、當地政策及功能需求而有些微差異。因此,每組建議之間的設定可能會有所不同。<產生公開可用安全性指南的組織>一節包含每個安全性指南的摘要。

其他相關資訊

產生公開可用安全性指南的組織

Microsoft Corporation

Microsoft 所提供的指南可協助我們保護自己的作業系統。我們已經開發下列三個安全性設定層級:
  • 企業用戶端 (EC)
  • 獨立 (SA)
  • 特定的安全性限制功能 (SSLF)
我們已在許多不同的客戶案例中完整測試使用過這個指南。本指南適用於任何希望協助保護其 Windows 電腦安全的組織。

我們完全支援我們的指南,因為我們已經在應用程式相容性實驗室中對這些指南進行大量測試。請造訪下列 Microsoft 網站下載我們的指南:若您在執行 Microsoft 安全性指南之後遇到問題或有任何意見,請透過電子郵件訊息將您的意見反應傳送至 secwish@microsoft.com

網際網路安全中心

CIS 已開發了基準測試,其設計目的是提供可協助組織做出有關某些可用安全性選項之明智決策的資訊。CIS 提供三個安全性基準測試層級:
  • 傳統
  • 企業
  • 高安全性
若您在執行 CIS 基準測試設定之後遇到問題或有任何意見,請傳送電子郵件訊息至 win2k-feedback@cisecurity.org 以與 CIS 連絡。

注意CIS 的指南已有所變更 (自 2004 年 11 月 3 日最初發行本文起)。CIS 目前提供的指南類似於 Microsoft 提供的指南。如需有關 Microsoft 所提供指南的詳細資訊,請參閱本文稍早所述的<Microsoft Corporation>一節。

美國國家標準與技術研究院

NIST 負責為美國聯邦政府建立適用的安全性指南。NIST 已建立四個可供美國聯邦政府機構、私人組織及公共組織使用的安全性指南層級:
  • SoHo
  • 傳統
  • 企業
  • 特定的安全性限制功能
若您在執行 NIST 安全性範本之後遇到問題或有任何意見,請傳送電子郵件訊息至 win2k-feedback@cisecurity.org 以與 NIST 連絡。

注意NIST 的指南已有所變更 (自 2004 年 11 月 3 日最初發行本文起)。NIST 目前提供的指南類似於 Microsoft 提供的指南。如需有關 Microsoft 所提供指南的詳細資訊,請參閱本文稍早所述的<Microsoft Corporation>一節。

美國國防資訊系統局

DISA 會建立特別適用於 DOD 的指南。若美國 DOD 使用者在執行 DISA 設定指南之後遇到問題或有任何意見,可透過電子郵件訊息將意見反應傳送至 fso_spt@ritchie.disa.mil

注意DISA 的指南已有所變更 (自 2004 年 11 月 3 日最初發行本文起)。DISA 目前提供的指南與 Microsoft 提供的指南類似或完全相同。如需有關 Microsoft 所提供指南的詳細資訊,請參閱本文稍早所述的<Microsoft Corporation>一節。

美國國家安全局 (NSA)

NSA 所製作的指南可協助保護美國國防部內高風險電腦的安全。NSA 開發單一層級的指南,大致上可與其他組織所產生的「高安全性」層級相對應。

若您在執行適用於 Windows XP 的 NSA 安全性指南之後遇到問題或有任何意見,可透過電子郵件訊息將意見反應傳送至 XPGuides@nsa.gov。若要提供有關 Windows 2000 指南的意見反應,請傳送電子郵件訊息至 w2kguides@nsa.gov

注意NSA 的指南已有所變更 (自 2004 年 11 月 3 日最初發行本文起)。NSA 目前提供的指南與 Microsoft 提供的指南類似或完全相同。如需有關 Microsoft 所提供指南的詳細資訊,請參閱本文稍早所述<Microsoft Corporation>一節。

安全性指南問題

如同本文稍早所提及的,部分指南所述的高安全性層級會大幅限制系統的功能。因此,部署這些建議之前,應該先完整測試系統。

注意目前並無任何報告指出針對「傳統」、「SoHo」或「企業」層級所提供的安全性指南會嚴重影響系統功能。此知識庫文件的主要重點在於與最高安全性層級相關的指南。

我們強力支援企業努力針對在高安全性區域中進行的部署提供安全性指南。我們持續與安全性標準組織合作,以開發有用且已完整測試過的強化指南。協力廠商的安全性指南一律會在發行時強烈警告必須在高安全性目標環境中完整測試指南。不過,這些警告不一定會受到注意。請確定您會在目標環境中完整測試所有安全性設定。不同於我們所建議的安全性設定可能會使作業系統測試程序中的應用程式相容性測試失效。此外,我們和協力廠商特別建議使用者必須在測試環境中套用草稿指南,不要在實際生產環境中套用。

這些安全性指南的高層級包括您在執行之前應謹慎評估的數個設定。雖然這些設定會提供其他安全性優點,但設定可能對系統的可用性造成負面影響。

檔案系統和登錄存取控制清單修改

Windows Vista、Microsoft Windows XP 和 Microsoft Windows Server 2003 在整個系統上的權限會大幅提高。因此,不需要對預設權限進行大量變更。

其他的 ACL 變更可能會使得 Microsoft 執行的所有或大部分應用程式相容性測試失效。通常,這類變更並未歷經如同 Microsoft 在其他設定上所執行的深度測試。支援案例和實際經驗表示 ACL 編輯會變更作業系統的基礎行為 (通常以非預期的方式)。這些變更會在效能與功能上影響應用程式的相容性和穩定性,並降低功能。

因為會發生這些變更,所以我們不建議您在生產系統中作業系統所隨附的檔案上修改檔案系統 ACL。我們建議您針對已知威脅評估任何其他的 ACL 變更,以瞭解變更可能會增添特定設定的任何潛在優點。基於這些理由,我們的指南只會進行非常細微的 ACL 變更,並且只會針對 Windows 2000 進行。若為 Windows 2000,需要進行數項些微變更。這些變更的說明請見《Windows 2000 安全性強化指南》。

您無法復原在整個登錄及檔案系統傳播的大量權限變更。新的資料夾 (例如,未在作業系統原始安裝中出現的使用者設定檔資料夾) 可能會受到影響。因此,如果您移除執行 ACL 變更的「群組原則」設定,或者套用系統預設值,便無法回復原始的 ACL。

%SystemDrive% 資料夾中的 ACL 變更可能會造成下列情況:
  • 資源回收筒無法再以原本設計的方式運作,而且檔案無法復原。
  • 降低安全性,讓非系統管理員可以檢視系統管理員的資源回收筒內容。
  • 使用者設定檔無法如預期般運作。
  • 降低安全性,讓互動式使用者擁有系統上部分或所有使用者設定檔的讀取權限。
  • 當許多 ACL 編輯載入「群組原則」物件 (包括長時間登入或重複重新啟動目標系統) 時,會發生效能問題。
  • 每 16 個小時,或者在重新套用群組原則設定時會發生效能問題,例如系統變慢。
  • 應用程式相容性發生問題或應用程式損毀。
為了協助您移除這類檔案和登錄權限的最差結果,Microsoft 將會依據您的支援合約,提供各種商業資源的支援。不過,目前您無法回復這些變更。我們只能保證您可藉由重新格式化硬碟和重新安裝作業系統,回到建議的全新設定。

例如,修改登錄 ACL 會影響大部分的登錄 Hive,而且可能會導致系統再也無法如預期般運作。修改單一登錄機碼上的 ACL,對於許多系統而言比較沒有問題。不過,我們建議您在執行這些變更之前,謹慎地考慮並加以測試。再次提醒,我們只能保證重新格式化和重新安裝作業系統可以回到建議的全新設定。

Microsoft 網路用戶端:數位簽章伺服器的通訊 (自動)

啟用此設定時,用戶端必須在聯繫不需要伺服器訊息區 (SMB) 簽章的伺服器時,簽署 SMB 流量。這樣能使用戶端比較不容易遭受工作階段劫持攻擊。它會提供重要的值,但是如果沒有啟用伺服器上的類似變更來啟用 [Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)][Microsoft 網路用戶端: 數位簽章伺服器的通訊 (如果用戶端同意)],則用戶端將無法順利與伺服器進行通訊。

網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值

啟用此設定時,新密碼的 LAN Manager (LM) 雜湊數值將無法在密碼變更時加以儲存。相較於以密碼編譯方式產生的較強 Microsoft Windows NT 雜湊,LM 雜湊相對較弱且特別容易發生攻擊。當此設定藉由防止許多常見的密碼破解公用程式來提供大量的額外安全性時,設定會阻止部分應用程式正確啟動或執行。

系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章

啟用此設定時,Internet Information Services (IIS) 和 Microsoft Internet Explorer 僅能使用傳輸層安全性 (TLS) 1.0 通訊協定。如果在執行 IIS 的伺服器上啟用此設定,則只有支援 TLS 1.0 的網頁瀏覽器可以連線。如果在網頁用戶端上啟用此設定,用戶端便只能連線至支援 TLS 1.0 通訊協定的伺服器。此需求可能會影響用戶端造訪使用安全通訊端層 (SSL) 之網站的能力。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
811834 當您啟用 FIPS 相容密碼編譯之後,無法造訪 SSL 網站

此外,當您在使用終端機服務的伺服器上啟用此設定時,會強迫用戶端使用 RDP 用戶端 5.2 或較新版本來連線。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
811833 在 Windows XP 和較新版本的 Windows 上啟用「系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章」安全性設定的影響

已停用自動更新服務或背景智慧型傳送服務 (BITS)

Microsoft 安全性策略之所以有效的其中一個主要原因就是它能確保系統皆保持在最新的更新狀態。此策略中的關鍵元件就是「自動更新」服務。Windows Update 和「軟體更新」服務都是使用「自動更新」服務。「自動更新」服務是依賴背景智慧型傳送服務 (BITS)。如果停用這些服務,電腦將無法透過「自動更新」、軟體更新服務 (SUS) 或部分 Microsoft Systems Management Server (SMS) 安裝接收來自 Windows Update 的更新。這些服務應該只能在具備有效且不依賴 BITS 之更新發佈系統的系統上加以停用。

已停用 NetLogon 服務

如果停用 Net Logon 服務,工作站便再也無法如同網域成員般確實運作。此設定可能適用於部分未加入網域的電腦,但在部署之前應先謹慎評估。

NoNameReleaseOnDemand

此設定可防止當伺服器在網路上與其他電腦發生衝突時,讓出它的 NetBIOS 名稱。針對拒絕服務攻擊名稱伺服器和其他重要伺服器角色,此設定是一個絕佳的預防措施。

如果您在工作站上啟用此設定,即使名稱與更重要系統 (例如網域控制站) 的名稱發生衝突,工作站也會拒絕讓出它的 NetBIOS 名稱。這種情況將會停用重要的網域功能。Microsoft 強力支援企業努力針對在高安全性區域中進行的部署提供安全性指南。不過,此指南必須在目標環境中進行完整測試。我們強烈建議需要預設設定以外其他安全性設定的系統管理員使用 Microsoft 所發行的指南,做為其組織需求的起點。如需有關協力廠商指南的支援或問題,請連絡發行該指南的組織。

?考

如需有關安全性設定的詳細資訊,請參閱威脅與對策:Windows Server 2003 和 Windows XP 的安全性設定。如果要下載這份指南,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/library/dd162275.aspx
如需有關某些其他重要安全性設定之影響的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823659 當您修改安全性設定和使用者權限指派時,可能會發生用戶端、服務和程式不相容的情形
如需有關需要 FIPS 相容方法之影響的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
811833 在 Windows XP 和較新版本的 Windows 上啟用「系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章」安全性設定的影響
Microsoft 提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證這些協力廠商連絡資訊的正確性。 如需有關如何連絡協力廠商的詳細資訊,請按一下下面清單中相關的文件編號,檢視「Microsoft 知識庫」中的文件:
65416 硬體和軟體廠商連絡資訊,A-K (英文)

60781 硬體和軟體廠商連絡資訊,L-P (英文)

60782 硬體和軟體廠商連絡資訊,Q-Z (英文)

屬性

文章編號: 885409 - 上次校閱: 2009年4月10日 - 版次: 7.3
這篇文章中的資訊適用於:
  • Windows Vista 旗艦版
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 MultiLanguage Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 MultiLanguage Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server MultiLanguage Version
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbsectools kbhowto kbsecurity KB885409
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com