دعم إرشادات تكوين الأمان

الملخص

قامت Microsoft ومركز أمان الإنترنت (CIS) و"وكالة الأمان الوطنية" (NSA) و"وكالة أنظمة معلومات الدفاع" (DISA) والمعهد القومي للمعايير والتقنيات (NIST) بنشر "إرشادات تكوين الأمان" ل Microsoft Windows.

قد تقيد مستويات الأمان العالية المحددة في بعض هذه الأدلة وظائف النظام بشكل ملحوظ. لذلك، يجب إجراء اختبار مهم قبل نشر هذه التوصيات. نوصيك باتخاذ احتياطات إضافية عند القيام ما يلي:

تحرير قوائم التحكم بالوصول (ACLs) للملفات ومفاتيح التسجيل
تمكين عميل شبكة Microsoft: توقيع الاتصالات رقميا (دائما)
تمكين أمان الشبكة: لا تخزن قيمة التجزئة ل LAN Manager عند تغيير كلمة المرور التالي
تمكين تشفير النظام: استخدام الخوارزميات المتوافقة مع FIPS للتشفير والتقريب والتوقيع
تعطيل خدمة التحديث التلقائي أو خدمة النقل الذكي للخلفية (BITS)
خدمة Disable NetLogon
تمكين NoNameReleaseOnDemand

تدعم Microsoft بشدة الجهود الصناعية لتوفير إرشادات الأمان للنشرات في المناطق ذات الأمان العالي. ومع ذلك، يجب عليك اختبار الإرشادات في البيئة الهدف بشكل دقيق. إذا كنت بحاجة إلى إعدادات أمان إضافية تتجاوز الإعدادات الافتراضية، نوصي بشدة برؤية الأدلة الصادرة عن Microsoft. يمكن أن تعمل هذه الأدلة كنقطة بداية لمتطلبات مؤسستك. للحصول على الدعم أو للأسئلة حول إرشادات جهات خارجية، اتصل بالم المؤسسة التي أصدرت الإرشادات.

مقدمة

على مدار السنوات العديدة الماضية، نشر عدد من المؤسسات، بما في ذلك Microsoft ومركز أمان الإنترنت (CIS) و"وكالة الأمان الوطنية" (NSA) و"وكالة أنظمة معلومات الدفاع" (DISA) والمعهد الوطنية للمعايير والتقنية (NIST) "إرشادات تكوين الأمان" لنظام التشغيل Windows. وكما هو حال أي إرشادات أمان، فإن الأمان الإضافي المطلوب غالبا ما يكون له تأثير سلبي على إمكانية الاستخدام.

تحتوي العديد من هذه الأدلة، بما في ذلك الأدلة من Microsoft ومن CIS ومن NIST على مستويات متعددة من إعدادات الأمان. قد تتضمن هذه الأدلة مستويات مصممة من أجل ما يلي:

إمكانية التشغيل التفاعلي مع أنظمة التشغيل الأقدم
بيئات المؤسسات
الأمان المحسن الذي يوفر وظائف محدودة لاحظ أن هذا المستوى يعرف في كثير من الأحيان ب "الأمان المتخصص" – مستوى الأداء الوظيفي المحدود أو مستوى الأمان

العالي.

تم تصميم مستوى "الأمان العالي" أو "الأمان المتخصص" – الأداء الوظيفي المحدود، بشكل خاص للبيئات التي بها الكثير من المخاطر المعرضة لخطر الهجمات. يتم استخدام معلومات المستوى هذه بأعلى قيمة ممكنة، مثل المعلومات التي تطلبها بعض الأنظمة الحكومية. مستوى الأمان العالي لمعظم هذه الإرشادات العامة غير ملائم لمعظم الأنظمة التي تعمل بنظام Windows. نوصيك بعدم استخدام مستوى الأمان العالي على محطات العمل ذات الأغراض العامة. نوصي باستخدام مستوى الأمان العالي فقط على الأنظمة التي قد يتسبب اختراقها في خسارة في الحياة أو فقدان معلومات قيمة جدا أو خسارة الكثير من الأموال.

عملت عدة مجموعات مع Microsoft على إنتاج أدلة الأمان هذه. في كثير من الحالات، تعالج كل هذه الأدلة تهديدات مماثلة. ومع ذلك، يختلف كل دليل قليلا بسبب المتطلبات القانونية والسياسات المحلية والمتطلبات الوظيفية. وبسبب ذلك، قد تختلف الإعدادات من مجموعة توصيات إلى أخرى. يحتوي القسم "المؤسسات التي تنتج إرشادات الأمان المتوفرة بشكل عام" على ملخص لكل دليل أمان.

مزيد من المعلومات

المؤسسات التي تنتج إرشادات الأمان المتوفرة بشكل عام

Microsoft Corporation

توفر Microsoft إرشادات حول كيفية المساعدة على تأمين أنظمة التشغيل الخاصة بك. لقد قمنا بتطوير المستويات الثلاثة التالية لإعدادات الأمان:

عميل المؤسسة (EC)
Stand-Alone (SA)
أمان متخصص – وظائف محدودة (SSLF)

لقد قمنا باختبار هذا الإرشاد جيدا لاستخدامه في العديد من سيناريوهات العملاء. هذه الإرشادات مناسبة لأي مؤسسة ترغب في المساعدة في تأمين أجهزة الكمبيوتر المستندة إلى Windows.

نحن ندعم بشكل كامل أدلةنا نظرا للاختبارات الموسعة التي أجريناها في برامج توافق التطبيقات لدينا على هذه الأدلة. تفضل بزيارة مواقع Microsoft على الويب التالية لتنزيل أدلةنا:

دليل أمان Windows Vista:

http://technet.microsoft.com/en-us/library/bb629420.aspx
أساس أمان Windows XP:

http://go.microsoft.com/fwlink/?LinkId=14839
أساس أمان Windows Server 2003:

http://go.microsoft.com/fwlink/?linkid=14845
دليل "تصعب الأمان" في Windows 2000:

http://go.microsoft.com/fwlink/?LinkId=28591

إذا واجهت مشاكل أو كان لديك تعليقات بعد تنفيذ "أدلة الأمان ل Microsoft"، يمكنك تقديم ملاحظات عن طريق إرسال رسالة بريد إلكتروني إلى secwish@microsoft.com.

يتم توفير إرشادات تكوين الأمان لنظام التشغيل Windows و Internet Explorer و مجموعة برامج إنتاجية Office في Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.

مركز أمان الإنترنت

وقد وضعت CIS معايير لتوفير معلومات تساعد المؤسسات على اتخاذ قرارات مهينة بشأن بعض خيارات الأمان المتوفرة. لقد وفرت CIS ثلاثة مستويات من معايير الأمان:

القديم
Enterprise
أمان عال

إذا واجهت مشاكل أو كان لديك تعليقات بعد تنفيذ إعدادات معايير CIS، فاتصل ب CIS عن طريق إرسال رسالة بريد إلكتروني إلى win2k-feedback@cisecurity.org.

تم تغيير إرشادات CIS منذ أن نشرنا هذه المقالة في الأصل (3 نوفمبر 2004). تشبه إرشادات CIS الحالية الإرشاد الذي توفره Microsoft. لمزيد من المعلومات حول الإرشادات التي تقدمها Microsoft، اقرأ القسم "Microsoft Corporation" سابقا في هذه المقالة.

المؤسسة الوطنية للمعايير والتقنيات

تتحمل NIST المسؤولية عن إنشاء إرشادات أمان الحكومة الفيدرالية الأمريكية. أنشأت NIST أربعة مستويات من إرشادات الأمان التي تستخدمها الوكالات الفيدرالية بالولايات المتحدة، المؤسسات الخاصة، المؤسسات العامة:

SoHo
القديم
Enterprise
أمان متخصص – وظائف محدودة

إذا واجهت مشاكل أو كان لديك تعليقات بعد تنفيذ قوالب أمان NIST، فاتصل ب NIST عن طريق إرسال رسالة بريد إلكتروني إلى itsec@nist.gov.

تم تغيير إرشادات NIST للملاحظة منذ نشر هذه المقالة في الأصل (3 نوفمبر 2004). تشبه إرشادات NIST الحالية الإرشادات التي تقدمها Microsoft. لمزيد من المعلومات حول الإرشادات التي تقدمها Microsoft، اقرأ القسم "Microsoft Corporation" سابقا في هذه المقالة.

وكالة أنظمة معلومات الدفاع

تنشئ DISA إرشادات مخصصة للاستخدام في وزارة الدفاع الأمريكية (DOD). يمكن لمستخدمي DOD في الولايات المتحدة الذين لديهم مشاكل أو لديهم تعليقات بعد تنفيذ إرشادات تكوين DISA تقديم ملاحظات من خلال إرسال رسالة بريد إلكتروني إلى fso_spt@ritchie.disa.mil.

ملاحظة، تم تغيير إرشادات DISA منذ أن نشرنا هذه المقالة في الأصل (3 نوفمبر 2004). إن إرشادات DISA الحالية مشابهة أو متطابقة مع الإرشادات التي تقدمها Microsoft. لمزيد من المعلومات حول الإرشادات التي تقدمها Microsoft، اقرأ القسم "Microsoft Corporation" سابقا في هذه المقالة.

وكالة الأمان الوطنية (NSA)

لقد أنتج NSA إرشادات للمساعدة على تأمين أجهزة الكمبيوتر عالية الخطورة في وزارة الدفاع الأمريكية (DOD). لقد طور NSA مستوى واحدا من الإرشادات يتوافق تقريبا مع مستوى الأمان العالي الذي تنتجه مؤسسات أخرى.

إذا واجهت مشاكل أو كان لديك تعليقات بعد تنفيذ "أدلة الأمان ل NSA" ل Windows XP، يمكنك تقديم ملاحظات عن طريق إرسال رسالة بريد إلكتروني إلى XPGuides@nsa.gov. لتقديم ملاحظات حول أدلة Windows 2000، أرسل رسالة بريد إلكتروني إلى w2kguides@nsa.gov.

تم تغيير إرشادات NSA للملاحظة منذ نشر هذه المقالة في الأصل (3 نوفمبر 2004). إن إرشادات NSA الحالية مشابهة أو متطابقة مع الإرشادات التي تقدمها Microsoft. لمزيد من المعلومات حول الإرشادات التي تقدمها Microsoft، اقرأ القسم "Microsoft Corporation" سابقا في هذه المقالة.

مشاكل إرشادات الأمان

كما ذكرنا سابقا في هذه المقالة، تم تصميم مستويات الأمان العالية الموضحة في بعض هذه الأدلة لتقييد وظائف النظام بشكل ملحوظ. وبسبب هذا التقييد، يجب عليك اختبار النظام جيدا قبل نشر هذه التوصيات.

تجدر الإشارة إلى أنه لم يتم تسجيل إرشادات الأمان المتوفرة لمستويات SoHo أو Legacy أو Enterprise التي تؤثر بشكل كبير على وظائف النظام. تركز مقالة قاعدة المعارف هذه بشكل أساسي على الإرشادات المقترنة بأعلى مستوى أمان.

ندعم بشدة الجهود الصناعية لتوفير إرشادات الأمان للنشرات في المناطق ذات الأمان العالي. نحن نستمر في العمل مع مجموعات معايير الأمان لتطوير إرشادات مفيدة صعبة يتم اختبارها بالكامل. يتم دائما إصدار إرشادات الأمان من الأطراف الخارجية مع تحذيرات قوية لاختبار الإرشادات بشكل كامل في بيئات الأمان العالية الهدف. ومع ذلك، لا يتم دائما الاهتاء بهذه التحذيرات. تأكد من إجراء اختبار كامل لجميع تكوينات الأمان في بيئتك الهدف. قد تؤدي إعدادات الأمان التي تختلف عن تلك التي نوصي بها إلى إبطال اختبار توافق التطبيقات الذي يتم تطبيقه كجزء من عملية اختبار نظام التشغيل. بالإضافة إلى ذلك، نحن والأطراف الخارجية لا نثني بشكل خاص عن تطبيق مسودة الإرشاد في بيئة إنتاج مباشرة بدلا من بيئة الاختبار.

تتضمن المستويات العالية من أدلة الأمان هذه العديد من الإعدادات التي يجب عليك تقييمها بعناية قبل تنفيذها. على الرغم من أن هذه الإعدادات قد توفر فوائد أمان إضافية، فقد يكون لهذه الإعدادات تأثير سلبي على إمكانية استخدام النظام.

تعديلات قائمة التحكم في نظام الملفات والسجل

تم تضييق أذونات Windows XP والإصدارات الأحدث من Windows إلى حد كبير في جميع أنحاء النظام. وبالتالي، لا يجب إدخال تغييرات واسعة النطاق على الأذونات الافتراضية.

قد تؤدي التغييرات الإضافية لقائمة التحكم في الوصول التقديرية (DACL) إلى إبطال اختبار توافق التطبيق الذي يتم تطبيقه بواسطة Microsoft أو معظمه. وفي الكثير من الأحيان، لم تخضع مثل هذه التغييرات للاختبار الشامل الذي أجريته Microsoft على إعدادات أخرى. أظهرت حالات الدعم وتجربة الحقل أن عمليات تحرير DACL تغير السلوك الأساسي لنظام التشغيل، بطرق غير مقصودة في الكثير من الأحيان. تؤثر هذه التغييرات على توافق التطبيقات واستقرارها وتقلل من الوظائف، فيما يتعلق بالأداء والقدرة على حد سواء.

وبسبب هذه التغييرات، لا نوصي بتعديل DACLs لنظام الملفات على الملفات المضمنة مع نظام التشغيل على أنظمة الإنتاج. نوصي بتقييم أي تغييرات إضافية على ACL مقابل تهديدات معروفة لفهم أي فوائد محتملة قد تضفيها التغييرات على تكوين معين. لهذه الأسباب، تقوم أدلةنا بإجراء تغييرات DACL قليلة جدا فقط وعلى Windows 2000 فقط. بالنسبة إلى Windows 2000، يلزم إدخال تغييرات بسيطة متعددة. يتم وصف هذه التغييرات في دليل "تعديلات الأمان" في Windows 2000.

لا يمكن التراجع عن تغييرات الأذونات الموسعة التي يتم انتشارها في نظام السجل والملفات. قد تتأثر المجلدات الجديدة، مثل مجلدات ملفات تعريف المستخدمين التي لم تكن موجودة في التثبيت الأصلي لنظام التشغيل. وبالتالي، إذا قمت بإزالة إعداد نهج المجموعة الذي يقوم بإجراء تغييرات DACL، أو قمت بتطبيق الإعدادات الافتراضية للنظام، فلا يمكنك التراجع عن عناوين DAC الأصلية.

قد تتسبب التغييرات في DACL في المجلد ٪SystemDrive٪ في السيناريوهات التالية:

لم تعد سلة موارير الملفات تعمل كما تم تصميمها، ولا يمكن استرداد الملفات.
خفض مستوى الأمان الذي يتيح لغير المسؤول عرض محتويات سلة موارير المسؤول.
فشل ملفات تعريف المستخدمين في العمل كما هو متوقع.
خفض مستوى الأمان الذي يوفر للمستخدمين التفاعليين حق الوصول للقراءة إلى بعض ملفات تعريف المستخدمين على النظام أو كلها.
مشاكل الأداء عند تحميل العديد من عمليات تحرير DACL إلى كائن "نهج المجموعة" الذي يتضمن أوقات تسجيل دخول طويلة أو عمليات إعادة تشغيل متكررة للنظام الهدف.
مشاكل الأداء، بما في ذلك تباطؤ النظام، كل 16 ساعة أو نحو ذلك مع إعادة تطبيق إعدادات "نهج المجموعة".
مشاكل توافق التطبيق أو تعطل التطبيق.

لمساعدتك على إزالة أسوأ النتائج لمثل هذه الملفات وأذونات السجل، ستبذل Microsoft جهودا معقولة تجاريا بما يتماشى مع عقد الدعم الخاص بك. ومع ذلك، لا يمكنك التراجع عن هذه التغييرات حاليا. يمكننا أن نضمن فقط أنه يمكنك العودة إلى الإعدادات المضمنة الموصى بها من خلال إعادة ضبط محرك الأقراص الثابتة وإعادة تثبيت نظام التشغيل.

على سبيل المثال، تؤثر التعديلات التي يتم إدخالها على سجلات DACLs على أجزاء كبيرة من خلايا السجل وقد تتسبب في عدم عمل الأنظمة كما هو متوقع. لا يشكل تعديل مكتبات DACLs على مفاتيح التسجيل الفردية مشكلة كبيرة للعديد من الأنظمة. ومع ذلك، نوصيك بتأن في النظر في هذه التغييرات واختبارها قبل تطبيقها. مرة أخرى، يمكننا أن نضمن فقط أنه يمكنك العودة إلى الإعدادات المكررة الموصى بها إذا قمت بإعادة اعاده تثبيت نظام التشغيل.

عميل شبكة Microsoft: توقيع الاتصالات رقميا (دائما)

عند تمكين هذا الإعداد، يجب على العملاء توقيع حركة مرور كتلة رسائل الخادم (SMB) عند الاتصال بخادم لا يتطلب توقيع SMB. وهذا يجعل العملاء أقل عرضة لهجمات الهجمات على جلسات العمل. فهو يوفر قيمة هامة، ولكن من دون تمكين تغيير مماثل على الخادم لتمكين خادم شبكة Microsoft: التوقيع رقميا على الاتصالات (دائما) أو عميل شبكة Microsoft: توقيع الاتصالات رقميا (إذا وافق العميل)، لن يتمكن العميل من التواصل مع الخادم بنجاح.

أمان الشبكة: لا تخزن قيمة التجزئة ل LAN Manager عند تغيير كلمة المرور التالي

عند تمكين هذا الإعداد، لن يتم تخزين قيمة التجزئة الخاصة ب LAN Manager (LM) لكلمة مرور جديدة عند تغيير كلمة المرور. تعد ازدواج LM ضعيفة نسبيا وعرضة للهجوم مقارنة بتشفر Microsoft Windows NT الاقوى في التشفير. على الرغم من أن هذا الإعداد يوفر المزيد من الأمان لنظام عن طريق منع العديد من أدوات المساعدة الشائعة لاختناق كلمات المرور، إلا أن الإعداد قد يمنع بعض التطبيقات من البدء أو التشغيل بشكل صحيح.

تشفير النظام: استخدام الخوارزميات المتوافقة مع FIPS للتشفير والتقزز والتوقيع

عند تمكين هذا الإعداد، تستخدم خدمات معلومات الإنترنت (IIS) و Microsoft Internet Explorer بروتوكول أمان طبقة النقل (TLS) 1.0 فقط. إذا تم تمكين هذا الإعداد على خادم يعمل ب IIS، يمكن فقط لمستعرضات الويب التي تدعم TLS 1.0 الاتصال. إذا تم تمكين هذا الإعداد على عميل ويب، يمكن للعميل الاتصال فقط الخوادم التي تدعم بروتوكول TLS 1.0. قد يؤثر هذا المتطلب على قدرة العميل على زيارة مواقع الويب التي تستخدم طبقة مآخذ التوصيل الآمنة (SSL). لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

811834 يتعذر عليك زيارة مواقع SSL بعد تمكين التشفير المتوافق مع FIPS بالإضافة إلى ذلك، عند تمكين هذا الإعداد على خادم يستخدم "خدمات المحطة الطرفية"، يجبر العملاء على استخدام عميل RDP 5.2 أو الإصدارات الأحدث
للاتصال.

لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

811833 تأثيرات تمكين إعداد الأمان "تشفير النظام: استخدام الخوارزميات المتوافقة مع FIPS للتشفير والتقزز والتوقيع" في Windows XP وفي الإصدارات الأحدث من Windows

تم تعطيل خدمة التحديث التلقائي أو خدمة النقل الذكي للخلفية (BITS)

أحد الأعمدة الأساسية لاستراتيجية أمان Microsoft هو التأكد من أن الأنظمة تبقى محدثة عند التحديثات. أحد المكونات الأساسية في هذه الاستراتيجية هو خدمة "التحديثات التلقائية". تستخدم كل من Windows Update وخدمات تحديث البرامج خدمة "التحديثات التلقائية". تعتمد خدمة "التحديثات التلقائية" على "خدمة النقل الذكي للخلفية" (BITS). إذا كانت هذه الخدمات معطلة، لن تتمكن أجهزة الكمبيوتر من تلقي التحديثات من Windows Update عبر "التحديثات التلقائية" أو من خدمات "تحديث البرامج" (SUS) أو من بعض عمليات تثبيت Microsoft Systems Management Server (SMS). يجب تعطيل هذه الخدمات فقط على الأنظمة التي لديها نظام توزيع فعال لتحديث التوزيع لا يعتمد على BITS.

خدمة NetLogon معطلة

إذا قمت بتعطيل خدمة NetLogon، فإن محطة العمل لن تعمل بشكل موثوق كعضو في المجال. قد يكون هذا الإعداد مناسبا لبعض أجهزة الكمبيوتر التي لا تشارك في المجالات. ومع ذلك، يجب تقييمه بعناية قبل النشر.

NoNameReleaseOnDemand

يمنع هذا الإعداد الخادم من التنازل عن اسمه في NetBIOS إذا تعارض مع كمبيوتر آخر على الشبكة. هذا الإعداد هو مقياس وقائي جيد لهجمات رفض الخدمة على خوادم الاسم وأدوار خوادم أخرى مهمة جدا.

عند تمكين هذا الإعداد على محطة عمل، فإن محطة العمل يرفضون التخلي عن اسم NetBIOS الخاص بها حتى لو تعارض الاسم مع اسم نظام أكثر أهمية، مثل وحدة تحكم المجال. يمكن أن يعطل هذا السيناريو وظائف المجال المهمة. تدعم Microsoft بشدة الجهود الصناعية لتوفير إرشادات الأمان التي تستهدف عمليات النشر في المناطق ذات الأمان العالي. ومع ذلك، يجب إجراء اختبار كامل لهذه الإرشادات في البيئة الهدف. نوصي بشدة بأن يستخدم مسؤولي النظام الذين يحتاجون إلى إعدادات أمان إضافية تتجاوز الإعدادات الافتراضية، الأدلة الصادرة من Microsoft كنقطة بداية لمتطلبات المؤسسة. للحصول على الدعم أو للأسئلة حول إرشادات جهات خارجية، اتصل بالم المؤسسة التي أصدرت الإرشادات.

المراجع

لمزيد من المعلومات حول إعدادات الأمان، راجع "التهديدات" و"التدابير العدادة": إعدادات الأمان في Windows Server 2003 و Windows XP. لتنزيل هذا الدليل، تفضل بزيارة موقع Microsoft على الويب التالي:

http://go.microsoft.com/fwlink/?LinkId=15159لمزيد من المعلومات حول تأثير بعض إعدادات الأمان الأساسية الإضافية، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

823659 حالات عدم توافق العميل والخدمة والبرنامج التي قد تحدث عند تعديل إعدادات الأمان وواجبات حقوق المستخدم للحصول على مزيد من المعلومات حول تأثيرات الخوارزميات المتوافقة مع FIPS، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

811833 توفر تأثيرات تمكين "تشفير النظام: استخدام الخوارزميات المتوافقة مع FIPS للتشفير والتقصير والتوقيع" إعداد الأمان في Windows XP والإصدارات الأحدث منMicrosoft معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. ولا تضمن Microsoft دقة معلومات الاتصال الخاصة بهذه الجهات الأخرى.

للحصول على معلومات حول الشركة المصنعة للأجهزة، تفضل بزيارة موقع Microsoft على الويب التالي:

http://support.microsoft.com/gp/vendors/en-us