Поддръжка на указания за конфигуриране на защитата

Microsoft Corporation

Microsoft предоставя насоки как да помогнете за защитата на нашите собствени операционни системи. Ние разработихме следните три нива на настройки за защита:

• Корпоративен клиент (EC)

• Stand-Alone (SA)

• Специализирана защита – ограничена функционалност (SSLF)

Ние старателно тествахме тези насоки за използване в много сценарии за клиента. Ръководството е подходящо за всяка организация, която желае да помогне за защитата на компютрите, базирани на Windows.

Ние напълно поддържаме нашите водачи поради обширното тестване, което проведохме в нашите лаборатории за съвместимост на приложения на тези водачи. Посетете следните уеб сайтове на Microsoft, за да изтеглите нашите водачи:

• Ръководство за защита на Windows Vista:
  

  http://technet.microsoft.com/en-us/library/bb629420.aspx

• Основна линия за защита на Windows XP:

  http://go.microsoft.com/fwlink/?LinkId=14839

• Базова линия за защита на Windows Server 2003:

  http://go.microsoft.com/fwlink/?linkid=14845

• Ръководство за втвърдяване на Windows 2000:
  

  http://go.microsoft.com/fwlink/?LinkId=28591

Ако имате проблеми или имате коментари, след като сте изпълнили ръководствата на Microsoft за защита, можете да изпратите обратна информация, като изпратете имейл съобщение на secwish@microsoft.com.



Ръководство за конфигуриране на защитата за операционната система Windows, за Internet Explorer и за пакета за производителност на Office е предоставено в диспечера за съответствие на защитата на Microsoft: http://TechNet.Microsoft.com/EN-US/Library/cc677002.aspx.

Центърът за защита в интернет

CIS е разработил еталони за предоставяне на информация, която помага на организациите да вземат информирани решения относно някои налични опции за защита. CIS е осигурил три нива на критерии за защита:

• Наследство

• Enterprise

• Висока степен на защита

Ако имате проблеми или имате коментари, след като сте изпълнили настройките за Бенчмарк на CIS, свържете се с КИС, като изпратите имейл съобщение до Win2k-feedback@cisecurity.org.

Забележка: указания за КИС се промени, тъй като ние първоначално сме публикували тази статия (3 ноември 2004). Текущото ръководство на CIS наподобява ръководството, което Microsoft предоставя. За повече информация относно ръководството, което Microsoft предоставя, прочетете секцията "Microsoft Corporation" по-горе в тази статия.

Националният институт за стандарти и технологии

NIST отговаря за създаването на указания за защита за федералното правителство на САЩ. NIST е създал четири нива на указания за защита, които се използват от федералните агенции на САЩ, частните организации и публичните организации:

• SoHo

• Наследство

• Enterprise

• Специализирана защита – ограничена функционалност

Ако имате проблеми или имате коментари, след като изпълните шаблоните за защита на NIST, се свържете с NIST, като изпратите имейл съобщение до ITSEC@nist.gov.

Забележка указания за NIST се промени, тъй като ние първоначално сме публикували тази статия (3 ноември 2004). Настоящите указания на NIST наподобяват ръководството, което предоставя Microsoft. За повече информация относно ръководството, което Microsoft предоставя, прочетете секцията "Microsoft Corporation" по-горе в тази статия.

Агенцията за информационни системи за отбраната

DISA създава насоки, които са специално използвани в американското министерство на отбраната (Дод). САЩ Дод потребители, които имат проблеми или коментари, след като изпълнят ръководството за конфигуриране на DISA, могат да предоставят обратна връзка, като изпратят имейл съобщение до fso_spt@ritchie.disa.mil.

Забележка ръководството на DISA се е променило, тъй като ние първоначално сме публикували тази статия (3 ноември 2004). Настоящите указания на DISA са подобни или идентични на указанията, предоставяни от Microsoft. За повече информация относно ръководството, което Microsoft предоставя, прочетете секцията "Microsoft Corporation" по-горе в тази статия.

Агенцията за национална сигурност (НСА)

NSA е произвела указания, за да помогне за защитата на високорискови компютри в американското министерство на отбраната (Дод). NSA е разработила едно ниво на указания, което отговаря приблизително на високото ниво на защита, което се произвежда от други организации.

Ако имате проблеми или имате коментари, след като сте изпълнили ръководствата за сигурност на НСА за Windows XP, можете да изпратите обратна информация, като изпратете имейл съобщение на XPGuides@nsa.gov. За да предоставите обратна връзка за водачи на Windows 2000, изпратете имейл съобщение на w2kguides@nsa.gov.

Забележка ръководството на НСА се е променило, тъй като ние сме публикували тази статия (3 ноември 2004). Текущото ръководство на НСА е подобно или идентично с указанията, предоставяни от Microsoft. За повече информация относно ръководството, което Microsoft предоставя, прочетете секцията "Microsoft Corporation" по-горе в тази статия.

Промени в списъка с файлове и управление на достъпа до регистри

Windows XP и по-нови версии на Windows имат значително по-строги разрешения в цялата система. Ето защо е необходимо да не са необходими значителни промени в разрешенията по подразбиране. 

Допълнителни промени в списъка за контрол на достъпа (DACL) може да обезсили всички или повечето от тестовете за съвместимост на приложения, които се изпълняват от Microsoft. Често промените, като тези, които не са преминали през щателното тестване, извършено от Microsoft върху други настройки. Случаи на поддръжка и среда за работа показват, че DACL редакции променят основното поведение на операционната система, често по непредвидими начини. Тези промени влияят върху съвместимостта и стабилността на приложението и намаляват функционалните възможности по отношение на производителността и възможностите.

Поради тези промени не препоръчваме да модифицирате файловата система DACLs във файлове, които са включени в операционната система на системите за производство. Препоръчваме ви да оценявате всякакви допълнителни промени в ACL срещу известна заплаха, за да разберете всякакви потенциални предимства, които промените могат да отпускат за конкретна конфигурация. Поради тези причини нашите водачи правят само много минимални промени в DACL и само за Windows 2000. За Windows 2000 са необходими няколко малки промени. Тези промени са описани в ръководството за втвърдяване на Windows 2000.

Обширните промени в разрешенията, които са размножени по време на системния регистър и файловата система, не могат да бъдат отменени. Новите папки, като например папките с потребителски профили, които не са налични при първоначалната инсталация на операционната система, могат да бъдат засегнати. Следователно, ако премахнете настройка на груповите правила, която извършва DACL промени, или прилагате системните стойности по подразбиране, не можете да възстановите първоначалния DACLs. 

Промените в DACL в папката% SystemDrive% може да доведат до следните сценарии:

• Кошчето вече не функционира като проектирано и файловете не могат да бъдат възстановени.

• Намаляване на сигурността, което позволява на неадминистратор да вижда съдържанието на кошчето на администратора.

• Провалът на потребителските профили да функционира по очаквания начин.

• Намаляване на защитата, която предоставя на интерактивни потребители достъп за четене до някои или до всички потребителски профили в системата.

• Проблеми с производителността, когато много редакции на DACL са заредени в обект с групови правила, които включват дълги времена на влизане или повтарящи се рестартира на целевата система.

• Проблемите с производителността, включително забавяния на системата, на всеки 16 часа или, тъй като настройките на груповите правила се прилагат отново.

• Проблемите със съвместимостта на приложения или приложението се сриват.

За да ви помогне да премахнете най-лошите резултати от такива разрешения за файл и регистър, Microsoft ще ви осигури търговски разумни усилия в съответствие с вашия договор за поддръжка. Но в момента не можете да възстановите тези промени. Можем само да гарантираме, че можете да се върнете към препоръчваните настройки "извън офиса", като преформатирате твърдия диск и преинсталирате операционната система.

Например модификациите в системния регистър DACLs засягат големи части от набора от раздели на системния регистър и може да предизвикат все повече функции. Промяната на DACLs в един ключове на системния регистър представлява по-малък проблем за много системи. Препоръчваме ви обаче да обмислите внимателно и да изпробвате тези промени, преди да ги реализирате. Отново можем да гарантираме, че можете да се върнете към препоръчваните настройки "извън офиса", ако преформатирате и преинсталирате операционната система.

Мрежов клиент на Microsoft: съобщения с цифров подпис (винаги)

Когато разрешите тази настройка, клиентът трябва да подпише блока за съобщения на сървъра (SMB), когато се свърже със сървърите, които не изискват подписването на SMB. Това прави клиентите по-малко уязвими за атаките срещу присвояването на сесии. Той предоставя значителна стойност, но без да позволява подобна промяна на сървъра, за да се разреши Microsoft Network Server: цифрово подписване на съобщения (винаги) или мрежов клиент на Microsoft: съобщения с цифров подпис (ако клиентът е съгласен), клиентът няма да може да комуникира успешно със сървъра.

Защита на мрежата: не Съхранявайте стойността за хеширане на LAN диспечер при следваща промяна на паролата

Когато разрешите тази настройка, стойността за хеширане на LAN Manager (LM) за нова парола няма да се съхрани при промяна на паролата. Хеширането на LM е относително слабо и податливо на атаки в сравнение с криптографско по-силното хеширане на Microsoft Windows NT. Въпреки че тази настройка предоставя обширна допълнителна защита за системата, като предотвратява много често срещани инструменти за крекинг на парола, настройката може да попречи на някои приложения да започнат или да се изпълняват правилно.

Шифроване на системата: използвайте съвместими с FIPS алгоритми за шифроване, хеширане и подписване

Когато разрешите тази настройка, Internet Information Services (IIS) и Microsoft Internet Explorer използват само протокола за защита на транспортния слой (TLS) 1,0. Ако тази настройка е разрешена на сървър, на който се изпълнява IIS, само уеб браузъри, които поддържат TLS 1,0, могат да се свързват. Ако тази настройка е разрешена за уеб клиент, клиентът може да се свързва само със сървърите, поддържащи протокола TLS 1,0. Това изискване може да засегне способността на клиента да посещава уеб сайтове, използващи слой със защитени сокети (SSL). За повече информация щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:

811834 Не можете да посетите SSL сайтове, след като сте разрешили шифроването с FIPS
допълнително, когато разрешите тази настройка на сървър, който използва терминални услуги, клиентът е принуден да използва ПРСР клиент 5,2 или по-нови версии, за да се свържете.

За повече информация щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:

811833 Ефектът от разрешаването на "системната криптография: използвайте алгоритми, съвместими с FIPS за шифроване, хеширане и подписване на" настройки за защита в Windows XP и по-нови версии на Windows

Услугата за автоматично актуализиране или услугата за интелигентно прехвърляне на фона (BITS) е забранена

Един от ключовите стълбове на стратегията за защита на Microsoft е да се уверите, че системите се поддържат актуални в актуализациите. Ключова част в тази стратегия е услугата за автоматични актуализации. И двете услуги за актуализиране на Windows и за актуализиране на софтуера използват услугата за автоматични актуализации. Услугата за автоматични актуализации се основава на услугата за интелигентно прехвърляне на заден план (BITS). Ако тези услуги са забранени, компютрите повече няма да могат да получават актуализации от Windows Update чрез автоматични актуализации, от услуги за актуализиране на софтуер (SUS) или от някои инсталации на сървър за управление на Microsoft Systems (SMS). Тези услуги трябва да бъдат забранени само за системи, които имат ефективна система за разпространение, която не разчита на БИТОВе.

Услугата NetLogon е забранена

Ако забраните услугата NetLogon, Workstation вече не функционира надеждно като член на домейн. Тази настройка може да е подходяща за някои компютри, които не участват в домейни. Но трябва да се оцени внимателно преди разполагането.

NoNameReleaseOnDemand

Тази настройка не позволява на сървъра да откаже своето NetBIOS име, ако е в конфликт с друг компютър в мрежата. Тази настройка е добра превантивна мярка за отказ от атаки за услуги срещу сървъри за имена и други много важни сървърни роли.

Когато разрешите тази настройка на работна станция, работната станция отказва да откаже своето NetBIOS име дори ако името е в конфликт с името на по-важна система, като например домейнов контролер. Този сценарий може да забрани важни функционални възможности на домейни. Microsoft твърдо поддържа отраслови усилия за предоставяне на указания за защита, които са насочени към разполагания във висока степен на защита. Тези насоки обаче трябва да бъдат старателно тествани в целевата среда. Силно препоръчваме системните администратори, които изискват допълнителни настройки за защита извън настройките по подразбиране, да използват ръководствата, издадени от Microsoft като отправна точка за изискванията на организацията. За поддръжка или за въпроси относно водачи на трети страни се обърнете към организацията, която е издала ръководството.