دعم دليل تكوين الأمان


ملخص


مايكروسوفت، نشر مركز أمان إنترنت (CIS) ووكالة الأمن القومي (NSA)، الدفاع معلومات أنظمة الوكالة (تعطيل)، و "المعهد الوطني للمعايير" والتقنيات (NIST) "إرشادات تكوين الأمان" لنظام التشغيل Microsoft Windows.

مستويات الأمان العالية التي تم تحديدها في بعض هذه الأدلة قد تحد وظيفة النظام بشكل كبير. ولذلك، يجب إجراء اختبار هام قبل نشر هذه التوصيات. نوصي باتخاذ احتياطات إضافية عندما تقوم بما يلي:
  • تحرير قوائم التحكم بالوصول (Acl) للملفات ومفاتيح التسجيل
  • تمكين عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
  • تمكين أمان شبكة الاتصال: عدم تخزين قيمة تجزئة LAN Manager عند التغيير التالي لكلمة المرور
  • تمكين تشفير النظام: استخدام المتوافقة مع fips من أجل التشفير, والتجزئة، والتوقيع
  • تعطيل خدمة التحديث التلقائي "أو" خدمة النقل الذكي في الخلفية "(BITS)
  • تعطيل خدمة NetLogon
  • تمكين نوناميريليسيونديماند
يعتمد Microsoft بشدة جهود الصناعة لتوفير إرشادات الأمان لعمليات التوزيع في مناطق الأمان العالي. ومع ذلك، يجب اختبار التوجيه جيدا في بيئة الهدف. إذا كنت تحتاج إعدادات أمان إضافية تتجاوز الإعدادات الافتراضية، نوصي بشدة أن ترى أدلة إصدار Microsoft. هذه الأدلة يمكن اعتبارها نقطة انطلاق لمتطلبات مؤسستك. للحصول على الدعم أو أسئلة حول أدلة خارجية، يمكنك الاتصال بمنظمة الذي أصدر التوجيهات.

مقدمة


على مر السنوات العديدة الماضية، وقد نشر عدد من المنظمات، بما في ذلك Microsoft، المركز أمان إنترنت (CIS) ووكالة الأمن القومي (NSA)، الدفاع معلومات أنظمة الوكالة (تعطيل)، و "المعهد الوطني للمعايير" والتقنيات (NIST)، "إرشادات تكوين الأمان" لنظام التشغيل Windows. كما هو الحال مع أي إرشادات الأمان، أمان إضافي مطلوب كثيرا ما قد يؤثر سلبا على سهولة الاستخدام.

تحتوي العديد من هذه الأدلة، بما في ذلك الأدلة من Microsoft ومن رابطة الدول المستقلة ومن NIST، على مستويات متعددة من إعدادات الأمان. وقد تتضمن هذه الأدلة مستويات مصممة لما يلي:
  • التوافق مع أنظمة التشغيل القديمة
  • بيئات المؤسسات
  • الأمان المحسن يوفر وظائف محدودة

    ملاحظة: هذا المستوى كثيرا ما يعرف "الأمن المتخصصة" – مستوى "وظائف محدودة" أو على مستوى "أمان عالي".
مستوى أمان عالي، أو الأمن المتخصصة-وظائف محدودة، مصممة خصيصا للبيئات الضارة جداً لخطر هجوم كبير. حراس هذا المستوى المعلومات أعلى قيمة ممكنة، مثل المعلومات التي يطلبها بعض الأنظمة الحكومية. مستوى "أمان عالي" معظم هذه الإرشادات العامة غير مناسب لمعظم أنظمة تشغيل Windows. نوصي بعدم استخدام مستوى "أمان عالي" على محطات العمل ذات الأغراض العامة. نوصي باستخدام مستوى "أمان عالي" فقط على أنظمة حيث يؤدي تسوية الخسائر في الأرواح أو إلى فقدان معلومات هامة جداً إلى فقدان الكثير من المال.

عدة مجموعات عمل مع Microsoft لإنتاج أدلة الأمان هذه. في كثير من الحالات، وهذه أدلة كل عنوان تهديدات مماثلة. ومع ذلك، كل دليل يختلف قليلاً بسبب المتطلبات القانونية والسياسات المحلية والمتطلبات الوظيفية. وبسبب هذا، قد تختلف هذه الإعدادات من مجموعة واحدة من التوصيات إلى التالي. "المنظمات التي تنتج إرشادات الأمان المتاحة للجمهور" المقطع يحتوي على ملخص لكل دليل أمان.

مزيد من المعلومات


المؤسسات التي تنتج إرشادات الأمان المتاحة للجمهور

شركة مايكروسوفت

Microsoft توفر إرشادات لكيفية المساعدة في تأمين أنظمة التشغيل الخاصة بنا. وقد وضعنا المستويات الثلاثة التالية لإعدادات الأمان:
  • مؤسسة العميل (EC)
  • المستقلة (SA)
  • الأمنية المتخصصة – وظائف محدودة (سلف)
ونحن اختبار دقة هذه الإرشادات للاستخدام في العديد من السيناريوهات العميل. التوجيه المناسب لأي مؤسسة ترغب في المساعدة على تأمين في أجهزة الكمبيوتر المستندة إلى Windows.

أننا نؤيد تماما لدينا أدلة بسبب عملية اختبار شاملة وقد أجرينا في مختبراتنا توافق التطبيق على تلك الأدلة. قم بزيارة مواقع Microsoft التالية لتحميل أدلة لدينا:إذا كنت تواجه مشكلات أو تعليقات بعد تنفيذ إرشادات أمان Microsoft، يمكنك توفير ملاحظات عن طريق إرسال رسالة بريد إلكتروني إلى secwish@microsoft.com.



يتم توفير إرشادات تكوين الأمان لنظام التشغيل Windows ل Internet Explorer وعن مجموعة برامج Office الإنتاجية في إدارة التوافق أمان Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.


مركز أمان إنترنت

رابطة الدول المستقلة قد وضعت المعايير لتوفير المعلومات التي تساعد المؤسسات على اتخاذ قرارات مستنيرة حول بعض خيارات الأمان المتوفرة. وقدمت رابطة الدول المستقلة ثلاثة مستويات من المعايير المرجعية الأمنية:
  • قديم
  • المؤسسة
  • أمان عالي
إذا كنت تواجه مشكلات أو تعليقات بعد تطبيق إعدادات قياس رابطة الدول المستقلة، اتصل برابطة الدول المستقلة عن طريق إرسال رسالة بريد إلكتروني إلى win2k-feedback@cisecurity.org.

ملاحظة: تم تغيير التوجيه لرابطة الدول المستقلة منذ نحن تم نشر هذه المقالة (3 تشرين الثاني/نوفمبر 2004). التوجيهات الحالية لرابطة الدول المستقلة تمثل التوجيهات التي تقدمها Microsoft. لمزيد من المعلومات حول التوجيهات التي تقدمها Microsoft، اقرأ المقطع "Microsoft Corporation" مسبقاً في هذه المقالة.

المعهد الوطني للمعايير والتكنولوجيا

NIST مسؤولة عن إنشاء إرشادات الأمان "الحكومة الاتحادية للوﻻيات المتحدة". وقد أنشأت NIST أربعة مستويات من إرشادات الأمان المستخدمة من قبل "الوكالات الاتحادية في الولايات المتحدة" والمنظمات الخاصة، والمؤسسات العامة:
  • سوهو
  • قديم
  • المؤسسة
  • الأمنية المتخصصة – محدودية الوظائف
إذا كنت تواجه مشكلات أو تعليقات بعد تطبيق قوالب الأمان NIST، اتصل NIST بإرسال رسالة بريد إلكتروني إلى itsec@nist.gov.

ملاحظة: تم تغيير التوجيه NIST منذ نحن تم نشر هذه المقالة (3 تشرين الثاني/نوفمبر 2004). تمثل التوجيه الحالي NIST الإرشادات التي تقدمها Microsoft. لمزيد من المعلومات حول التوجيهات التي تقدمها Microsoft، اقرأ المقطع "Microsoft Corporation" مسبقاً في هذه المقالة.

وكالة نظم معلومات الدفاع

ينشئ ديسا خصيصا للاستخدام في "الولايات المتحدة وزارة الدفاع" (وزارة الدفاع). يمكن للمستخدمين "وزارة الدفاع في الولايات المتحدة" تواجه مشكلات أو الذين لديهم تعليقات بعد تنفيذ التوجيه التكوين ديسا توفير تغذية مرتدة عن طريق إرسال رسالة بريد إلكتروني إلى fso_spt@ritchie.disa.mil.

ملاحظة: توجيه لتعطيل تغير منذ نحن تم نشر هذه المقالة (3 تشرين الثاني/نوفمبر 2004). التوجيه لتعطيل الحالي متشابهة أو متطابقة للتوجيهات التي تقدمها Microsoft. لمزيد من المعلومات حول التوجيهات التي تقدمها Microsoft، اقرأ المقطع "Microsoft Corporation" مسبقاً في هذه المقالة.

وكالة الأمن القومي (NSA)

وكالة الأمن القومي قد أصدرت توجيهات لمساعدة أجهزة الكمبيوتر الآمنة ذات الخطورة العالية في "الولايات المتحدة وزارة الدفاع" (وزارة الدفاع). ووضعت وكالة الأمن القومي مستوى واحد من التوجيه المتوافق تقريبا بمستوى "أمان عالي" التي تنتجها المؤسسات الأخرى.

إذا كنت تواجه مشكلات أو تعليقات بعد تنفيذ أدلة الأمان ضمانات الأمن السلبية لنظام التشغيل Windows XP، يمكنك توفير تغذية مرتدة عن طريق إرسال رسالة بريد إلكتروني إلى XPGuides@nsa.gov. تقديم معلومات عن أدلة نظام التشغيل Windows 2000، إرسال رسالة بريد إلكتروني إلى w2kguides@nsa.gov.

ملاحظة: تم تغيير التوجيه لوكالة الأمن القومي منذ نحن تم نشر هذه المقالة (3 تشرين الثاني/نوفمبر 2004). التوجيه الحالي لضمانات الأمن السلبية متشابهة أو متطابقة للتوجيهات التي تقدمها Microsoft. لمزيد من المعلومات حول التوجيهات التي تقدمها Microsoft، اقرأ المقطع "Microsoft Corporation" مسبقاً في هذه المقالة.

المسائل المتعلقة بإرشادات الأمان

كما ذكر سابقا في هذه المقالة، مستويات الأمان العالية التي تم وصفها في بعض هذه الأدلة ترمي إلى تقييد وظائف النظام إلى حد كبير. وبسبب هذا التقييد، يجب تماما اختبار نظام قبل القيام بنشر هذه التوصيات.

ملاحظة: إرشادات الأمان التي يتم توفيرها لمستويات سوهو أو قديمة أو المؤسسة غير تم الإبلاغ عن تؤثر تأثيراً شديدا على وظائف النظام. مقالة قاعدة المعارف تركز أساسا على التوجيه المقترن بأعلى مستوى من الأمان.

ونؤيد بقوة جهود الصناعة لتوفير إرشادات الأمان لعمليات التوزيع في مناطق الأمان العالي. نواصل العمل مع مجموعات معايير الأمان لتطوير إرشادات مفيدة تقوية يتم اختبارها بشكل كامل. دائماً يتم إصدار إرشادات الأمان من أطراف ثالثة بتحذيرات قوية اختبار المبادئ التوجيهية في البيئات ذات مستوى الأمان العالي الهدف بشكل كامل. ومع ذلك، هذه التحذيرات يتم لم دوماً آذانا صاغية. تأكد من أن قمت باختبار كافة تكوينات الأمان في بيئة الهدف. قد يؤدي إلى إبطال إعدادات الأمان التي تختلف عن تلك التي نوصي باختبار توافق التطبيقات التي يتم تنفيذها كجزء من عملية اختبار نظام التشغيل. بالإضافة إلى ذلك، نحن والأطراف الثالثة على وجه التحديد لا تشجع تطبيق مشروع التوجيه في بيئة إنتاج الحقيقية بدلاً من بيئة اختبار.

مستويات عالية من الأمن هذه الأدلة تتضمن العديد من الإعدادات التي يجب عليك بعناية تقييم قبل تنفيذ هذه. على الرغم من أن هذه الإعدادات قد توفر منافع أمنية إضافية، قد تؤثر سلبا على إمكانية استخدام نظام الإعدادات.

ملف التسجيل ونظام الوصول إلى عنصر تحكم قائمة التعديلات

نظام التشغيل Windows XP والإصدارات اللاحقة من Windows عززت إلى حد كبير الأذونات عبر النظام. ولذلك، تغييرات شاملة على الأذونات الافتراضية لا ضرورة.

قد يؤدي إلى إبطال التغييرات قائمة (DACL) عنصر تحكم الوصول المستقل إضافية كل أو معظم اختبار توافق التطبيقات التي يتم تنفيذها بواسطة Microsoft. وكثيراً ما لم تطرأ تغييرات كهذه اختبار شامل يؤديه Microsoft على الإعدادات الأخرى. حالات الدعم والخبرة الميدانية أظهرت أن عمليات تحرير DACL تغيير السلوك الأساسية لنظام التشغيل، وكثيراً ما بطرق غير مقصودة. هذه التغييرات تؤثر على استقرار وتوافق التطبيقات وتقليل الوظائف فيما يتعلق بكل من الأداء والقدرة.

وبسبب هذه التغييرات، نوصي بأن تقوم بتعديل نظام الملفات Dacl على الملفات المضمنة مع نظام التشغيل على أنظمة الإنتاج. نوصي بتقييم أي تغييرات ACL إضافية ضد تهديد معروفة لفهم أي المزايا المحتملة التي قد تعطي التغييرات لتكوين معين. ولهذه الأسباب، لدينا أدلة إجراء تغييرات DACL أدنى فقط وفقط على Windows 2000. لنظام التشغيل Windows 2000، عدة تغييرات طفيفة مطلوبة. يتم وصف هذه التغييرات في دليل تقوية Windows 2000 الأمن.

يتعذر التراجع عن تغييرات الأذونات الشاملة التي يتم نشرها من خلال التسجيل ونظام الملفات. مجلدات جديدة، مثل مجلدات ملف تعريف المستخدم التي لم تكن موجودة في التثبيت الأصلي لنظام التشغيل، قد تتأثر. ولذلك، إذا قمت بإزالة إعداد "نهج المجموعة" الذي يقوم بإجراء تغييرات DACL، أو يمكنك تطبيق الإعدادات الافتراضية للنظام، يتعذر استرجاع Dacl الأصلي.

قد تتسبب التغييرات على DACL في المجلد % SystemDrive % في السيناريوهات التالية:
  • "سلة المحذوفات" لم يعد يعمل كتصميم، ولا يمكن استرداد الملفات.
  • تخفيض الأمان غير مسؤول يتيح عرض محتويات "سلة المحذوفات المسؤول".
  • فشل التشكيلات الجانبية للمستخدم أن تعمل كما هو متوقع.
  • تخفيض الأمان التي توفر المستخدمين حق الوصول للقراءة لبعض أو لكافة ملفات تعريف المستخدمين على النظام.
  • مشاكل في الأداء عند تحميل العديد من عمليات التحرير DACL في كائن "نهج المجموعة" الذي يتضمن أوقات تسجيل الدخول طويلة أو متكررة عند إعادة تشغيل نظام الهدف.
  • مشاكل في الأداء، بما في ذلك بطء النظام، كل 16 ساعة أو حتى يتم إعادة تطبيق إعدادات "نهج المجموعة".
  • تعطل التطبيق أو مشكلات توافق التطبيقات.
لمساعدتك في إزالة أسوأ نتائج مثل أذونات الملفات والتسجيل، توفر Microsoft مجهودات معقولة اقتصاديا وفقا لعقد الدعم الخاص بك. ومع ذلك، يتعذر حاليا استرجاع هذه التغييرات. يمكننا أن نضمن إلا أنه يمكنك العودة إلى الإعدادات المستحسنة خارج نطاق صندوق عن طريق إعادة تهيئة القرص الثابت وإعادة تثبيت نظام التشغيل.

على سبيل المثال، تؤثر على أجزاء كبيرة من خلايا التسجيل التعديلات قوائم التسجيل وقد يتسبب أنظمة لعدم عمل كما هو متوقع. تعديل Dacl على يطرح مفاتيح تسجيل واحد أقل من مشكلة في العديد من النظم. ومع ذلك، نوصي لك بعناية النظر واختبار هذه التغييرات قبل تنفيذ هذه. مرة أخرى، يمكننا أن نضمن إلا أنه يمكنك العودة إلى الإعدادات المستحسنة خارج نطاق صندوق إذا قمت بإعادة تهيئة وإعادة تثبيت نظام التشغيل.

عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)

عند تمكين هذا الإعداد، يجب على الأجهزة العميلة توقيع نقل بيانات كتلة رسالة الملقم (SMB) عند يمكنهم الاتصال بالخوادم التي لا تتطلب توقيع SMB. هذا يجعل الأجهزة العميلة أقل تعرضا لعمليات الهجوم جلسات. ويوفر قيمة هامة، ولكن دون تمكين مماثلة تغيير على الملقم لتمكين ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) أو عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة العميل)، لن يكون العميل قادراً على الاتصال بالخادم بنجاح.

أمان شبكة الاتصال: عدم تخزين قيمة تجزئة LAN Manager عند التغيير التالي لكلمة المرور

عند تمكين هذا الإعداد، لن يتم تخزين قيمة تجزئة LAN Manager (LM) كلمة مرور جديدة عند تغيير كلمة المرور. تجزئة LM ضعيفة نسبيا ومقارنة تجزئة Microsoft Windows NT الأقوى تشفيراً عرضه للهجمات. على الرغم من أن يوفر هذا الإعداد أمان إضافية شاملة لنظام عن طريق منع العديد من المرافق العامة على كسر كلمة مرور، الإعداد منع بعض التطبيقات من بدء أو العمل بشكل صحيح.

تشفير النظام: استخدام FIPS الخوارزميات المتوافقة مع التشفير، تجزئة، والتوقيع

عند تمكين هذا الإعداد، استخدم خدمات معلومات إنترنت (IIS) و Microsoft Internet Explorer بروتوكول أمن طبقة النقل (TLS) 1.0 فقط. إذا تم تمكين هذا الإعداد على خادم يقوم بتشغيل IIS، يمكنك الاتصال مستعرضات ويب التي تعتمد TLS 1.0. إذا تم تمكين هذا الإعداد على عميل ويب، يمكن توصيل العميل فقط على الملقمات التي تدعم بروتوكول TLS 1.0. قد يؤثر هذا المطلب على إمكانية العميل زيارة مواقع الويب التي تستخدم طبقة مأخذ التوصيل الآمنة (SSL). للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
811834 زيارة مواقع SSL بعد تمكين تشفير المتوافقة مع FIPS

بالإضافة إلى ذلك، عند تمكين هذا الإعداد على خادم يقوم باستخدام "الخدمات الطرفية"، يضطر العملاء لاستخدام عميل RDP 5.2 أو الإصدارات الأحدث للاتصال.

لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
811833 آثار تمكين "تشفير النظام: استخدام FIPS الخوارزميات المتوافقة مع التشفير, تجزئة والتوقيع" إعداد الأمان في نظام التشغيل Windows XP والإصدارات اللاحقة من Windows

تم تعطيل خدمة التحديث التلقائي أو خدمة النقل الذكي في الخلفية "(BITS)

أحد الركائز الأساسية لاستراتيجية أمان Microsoft هو التأكد من أنظمة احتفاظ الحالي في التحديثات. عنصرا أساسيا في هذه الاستراتيجية هو خدمة "التحديثات التلقائية". استخدام خدمات تحديث برنامج Windows Update وخدمة "التحديثات التلقائية". تعتمد خدمة "التحديثات التلقائية" على ذكية نقل خدمة الخلفية (BITS). إذا تم تعطيل هذه الخدمات على أجهزة الكمبيوتر لن تكون قادراً على تلقي التحديثات من Windows Update من خلال "التحديثات التلقائية" من خدمات "تحديث البرامج" (SUS) أو من بعض عمليات تثبيت Microsoft Systems Management Server (SMS). يجب تعطيل خدمات هذه فقط على الأنظمة التي لديها نظام لتوزيع تحديث فعالة التي لا تعتمد على معاهدات الاستثمار الثنائية.

تم تعطيل خدمة NetLogon

إذا تم تعطيل الخدمة NetLogon، محطة عمل لم تعد تعمل أمانة كعضو مجال. قد يكون هذا الإعداد المناسب لبعض أجهزة الكمبيوتر التي لا تشترك في مجالات. ومع ذلك، ينبغي بعناية تقييم قبل النشر.

نوناميريليسيونديماند

يمنع هذا الإعداد ملقم من التخلي عن اسم NetBIOS الخاص به إذا كانت تتعارض مع كمبيوتر آخر على شبكة الاتصال. هذا الإعداد هو تدبير وقائي جيد لهجمات رفض الخدمة مقابل أسماء الملقمات وأدوار هامة أخرى.

عند تمكين هذا الإعداد على محطة عمل، ومحطة العمل ترفض التخلي عن اسم NetBIOS الخاص به، حتى وأن تعارض الاسم باسم نظام أكثر أهمية، مثل وحدة تحكم بمجال. يمكنك تعطيل هذا السيناريو وظائف هامة في المجال. يعتمد Microsoft بشدة جهود الصناعة لتوفير إرشادات الأمان المستهدفة لعمليات النشر في مناطق الأمان العالي. ومع ذلك، هذا الدليل يجب أن يمكن اختبارها بعناية في بيئة الهدف. نحن ننصح بشدة أن مسؤولي النظام الذين تتطلب إعدادات أمان إضافية تتجاوز الإعدادات الافتراضية استخدام الأدلة إصدار Microsoft كنقطة انطلاق لمتطلبات الشركة الخاصة بهم. للحصول على الدعم أو أسئلة حول أدلة خارجية، يمكنك الاتصال بمنظمة الذي أصدر التوجيهات.

المراجع


لمزيد من المعلومات حول إعدادات الأمان، راجع التهديدات والإجراءات المضادة: "إعدادات الأمان" في نظام التشغيل Windows XP و Windows Server 2003. لتنزيل هذا الدليل، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول التأثير بعض إعدادات الأمان الأساسية إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
823659 عميل الخدمة وحالات عدم توافق البرامج التي قد تحدث عندما تقوم بتعديل إعدادات الأمان وتعيينات حقوق المستخدم
لمزيد من المعلومات حول التأثيرات تتطلب المتوافقة مع fips، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
811833 آثار تمكين "تشفير النظام: استخدام FIPS الخوارزميات المتوافقة مع التشفير, تجزئة والتوقيع" إعداد الأمان في نظام التشغيل Windows XP والإصدارات الأحدث
توفر Microsoft معلومات الاتصال خارجية لمساعدتك في الحصول على الدعم التقني. قد تتغير معلومات جهة الاتصال هذه دون إشعار. لا تضمن Microsoft دقة معلومات جهة الاتصال لهذه الجهات الأخرى.


للحصول على معلومات حول الشركة المصنعة للجهاز، قم بزيارة موقع Microsoft التالي على الويب: