Shrnutí

Microsoft, Centrum pro internet Security (NSA), Národní bezpečnostní kancelář (NSA), Agenturu pro bezpečnostní informační systémy (DISA) a Národní institut pro standardy a technologie (NIST) publikovali pro Microsoft Windows "pokyny ke konfiguraci zabezpečení". Vysoké úrovně zabezpečení, které jsou uvedené v některých z těchto průvodců, mohou významně omezit funkčnost systému. Proto byste před nasazením těchto doporučení měli provést významné testování. Doporučujeme provést další opatření, když budete dělat toto:

  • Úpravy seznamů řízení přístupu (ACL) souborů a klíčů registru

  • Povolení síťového klienta Microsoftu: Digitální podepsání komunikace (vždy)

  • Povolení zabezpečení sítě: Do not store LAN Manager hash value on next password change

  • Povolení šifrování systému: Použití algoritmů kompatibilních s FIPS k šifrování, hashování a podepisování

  • Zakázání služby automatických aktualizací nebo inteligentní služby přenosu na pozadí (BITS)

  • Zakázání služby NetLogon

  • Povolení funkce NoNameReleaseOnDemand

Microsoft důrazně podporuje oborové úsilí, aby poskytovalo pokyny k zabezpečení pro nasazení s vysokým zabezpečením. Pokyny v cílovém prostředí ale musíte důkladně otestovat. Pokud potřebujete další nastavení zabezpečení, než je výchozí nastavení, důrazně doporučujeme, abyste se podívat na příručky vydané společností Microsoft. Tito průvodci mohou posloužit jako výchozí bod pro požadavky vaší organizace. V případě podpory nebo dotazů k průvodcům třetích stran se obraťte na organizaci, která tyto pokyny vydala.

Úvod

Během posledních několika let vydala pro Windows řada organizací, mezi které patří Microsoft, Centrum pro internet Security (NS), Národní bezpečnostní kancelář (NSA), Agentura pro bezpečnostní informační systémy (DISA) a Národní institut pro standardy a technologie (NIST). Stejně jako u jiných pokynů k zabezpečení má i další často požadované zabezpečení negativní dopad na použitelnost. Několik z těchto průvodců, včetně průvodců od Microsoftu, z PSYCHOLOGA a programu NIST, obsahuje několik úrovní nastavení zabezpečení. Tyto příručky mohou zahrnovat úrovně navržené pro následující:

  • Spolupráce se staršími operačními systémy

  • Podniková prostředí

  • Vylepšené zabezpečení, které poskytuje omezené funkce Poznámka: Tato úroveň se často označuje jako úroveň Speciald Security – Omezená funkčnost nebo Vysoká úroveň zabezpečení.

Úroveň High Security (Vysoké zabezpečení) nebo Specialized Security (omezená funkčnost) je navržená speciálně pro velmi hostilní prostředí s vysokým rizikem útoků. Tato úroveň obsahuje informace o nejvyšší možné hodnotě, například informace vyžadované některými vládními systémy. Vysoká úroveň zabezpečení většiny těchto veřejných pokynů je vhodná pro většinu systémů s Windows. Doporučujeme, abyste pro pracovní stanice pro obecné účely nepoučovali úroveň High Security. Doporučujeme používat vysokou úroveň zabezpečení jenom v systémech, kde by ohrožení způsobilo ztrátu života, ztrátu velmi cenných informací nebo ztrátu vysokých peněz.Na vytvoření těchto průvodců zabezpečení pracovalo několik skupin. V mnoha případech tito průvodci řeší podobné hrozby. Každá příručka se ale mírně liší z důvodu právních požadavků, místních zásad a funkčních požadavků. Proto se nastavení může lišit od jedné sady doporučení k další. Část Organizace, které vytvářejí veřejně dostupné pokyny k zabezpečení, obsahuje souhrn všech průvodců zabezpečení.

Další informace

Organizace, které vytváří veřejně dostupné pokyny k zabezpečení

Microsoft Corporation

Microsoft poskytuje pokyny, jak zabezpečit naše vlastní operační systémy. Vyvinuli jsme následující tři úrovně nastavení zabezpečení:

  • Podnikový klient (EC)

  • Stand-Alone (SA)

  • Specializovaná zabezpečení – omezená funkčnost (SSLF)

Tyto pokyny jsme důkladně otestovali pro použití v mnoha scénářích od zákazníků. Pokyny jsou vhodné pro všechny organizace, které se chtěly pomoct zabezpečit počítače s Windows.Naše příručky plně podporujeme na základě rozsáhlého testování, které jsme provedli v našich příručkách o kompatibilitě aplikací. Navštivte následující weby Microsoftu a stáhněte si naše příručky:

Pokud se po implementaci průvodců zabezpečení společnosti Microsoft vyskytnou problémy nebo máte komentáře, můžete jim poslat e-mailovou secwish@microsoft.com.Pokyny ke konfiguraci zabezpečení pro operační systém Windows, pro Internet Explorer a pro sadu Office pro zvýšení produktivity jsou uvedeny ve Správci dodržování předpisů zabezpečení společnosti Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.

Centrum pro zabezpečení internetu

FunkceNS vyvinula referenční hodnoty jako informace, které organizacím pomáhají při rozhodování o určitých dostupných možnostech zabezpečení. FUNKCENS nabízí tři úrovně referenčních hodnot zabezpečení:

  • Starší verze

  • Enterprise

  • Vysoká úroveň zabezpečení

Pokud se po implementaci nastavení typové porovnávání SE STANDARDY vynožíte s problémy nebo máte komentáře, obraťte se na TO TAK, že pošlete e-mailovou win2k-feedback@cisecurity.org.Poznámka: Pokyny k systémuNS se od původního publikování tohoto článku (3. listopadu 2004) změnily. Aktuální pokyny pro FUNKCE SE podobají pokynům, které microsoft poskytuje. Další informace o pokynech, které Microsoft poskytuje, najdete v části "Microsoft Corporation" uvedené výše v tomto článku.

Národní institut pro standardy a technologie

NIST je zodpovědný za vytváření pokynů k zabezpečení pro federální státní vlády USA. NIST vytvořil čtyři úrovně pokynů pro zabezpečení, které používají Federální úřady USA, soukromé organizace a veřejné organizace:

  • SoHo

  • Starší verze

  • Enterprise

  • Specializovaná bezpečnost – omezená funkčnost

Pokud se po implementaci šablon zabezpečení NIST vyskytnou problémy nebo máte komentáře, kontaktujte NIST odesláním e-mailové zprávy itsec@nist.gov.Poznámka: Pokyny programu NIST se změnily od původního publikování tohoto článku (3. listopadu 2004). Aktuální pokyny nástroje NIST jsou podobné pokynům, které společnost Microsoft poskytuje. Další informace o pokynech, které Microsoft poskytuje, najdete v části "Microsoft Corporation" uvedené výše v tomto článku.

Agentura pro informační systémy obhajoby

DisA vytváří pokyny speciálně pro použití v ministerstvu obhajoby USA (DOD). Uživatelé organizace DOD ve Spojených státech, kteří se po implementaci pokynů pro konfiguraci nástroje DISA vyskytnou problémy nebo mají komentáře, mohou poskytnout zpětnou vazbu odesláním e-mailové fso_spt@ritchie.disa.mil.Poznámka: Pokyny pro nástroj DISA se od původního publikování tohoto článku (3. listopadu 2004) změnily. Aktuální pokyny nástroje DISA jsou podobné pokynům, které microsoft poskytuje, nebo jsou stejné. Další informace o pokynech, které Microsoft poskytuje, najdete v části "Microsoft Corporation" uvedené výše v tomto článku.

Národní bezpečnostní kancelář (NSA)

NSA na oddělení obhajoby spojených států (DOD) přisouvá pokyny, jak zabezpečit počítače s vysokým rizikem. NSA vyvinula jednu úroveň pokynů, která přibližně odpovídá vysoké úrovni zabezpečení vytvořenou jinými organizacemi.Pokud se po implementaci průvodců zabezpečení NSA pro Windows XP vyskytnou problémy nebo máte komentáře, můžete nám poslat svůj názor tak, že e-mailovou zprávu pošlete XPGuides@nsa.gov. Pokud chcete v příručkách pro Windows 2000 poskytnout zpětnou vazbu, pošlete e-mailovou w2kguides@nsa.gov.Poznámka: Pokyny pro NSA se změnily od původního publikování tohoto článku (3. listopadu 2004). Aktuální pokyny nsau jsou podobné pokynům, které Microsoft poskytuje, nebo jsou stejné. Další informace o pokynech, které Microsoft poskytuje, najdete v části "Microsoft Corporation" uvedené výše v tomto článku.

Problémy s pokyny k zabezpečení

Jak jsme zmínili dřív v tomto článku, vysoké úrovně zabezpečení popsané v některých z těchto průvodců byly navrženy tak, aby významně omezovaly funkčnost systému. Kvůli tomuto omezení byste měli systém před nasazením těchto doporučení důkladně otestovat. Upozorňujeme, že pokyny k zabezpečení, které jsou k dispozici pro úrovně SoHo, Legacy nebo Enterprise, nebyly oznámeny tak, že by vážně ovlivnily funkce systému. Tento článek znalostní báze Knowledge Base se primárně zaměřuje na pokyny související s nejvyšší úrovní zabezpečení. Důrazně podporujeme úsilí průmyslu poskytovat pokyny k zabezpečení pro nasazení v oblastech s vysokým zabezpečením. Se skupinami bezpečnostních standardů dále pracujeme na tom, aby se vyvíjely užitečné pokyny k obtížné práci, které jsou plně testovány. Pokyny k zabezpečení od třetích stran se vždy vydávají se silnými upozorněními k úplnému otestování pokynů v cílových prostředích s vysokým zabezpečením. Tato upozornění ale nemusí být vždy heslací. Důkladně otestujte všechny konfigurace zabezpečení ve svém cílovém prostředí. Nastavení zabezpečení, která se liší od těch, které doporučujeme, mohou neplatným výsledkem testování kompatibility aplikace provedeného v rámci procesu testování operačního systému. Kromě toho my a třetí strany výslovně nedoporučujeme používat koncepty pokynů v živém produkčním prostředí místo v testovacím prostředí. Vysoká úroveň těchto průvodců zabezpečení zahrnuje několik nastavení, která byste před jejich implementem měli pečlivě vyhodnotit. I když tato nastavení mohou poskytovat další výhody zabezpečení, mohou mít nepříznivý dopad na použitelnost systému.

Změny seznamu řízení přístupu k systému souborů a registru

Windows XP a novější verze Windows mají v celém systému podstatně utažené oprávnění. Proto by neměla být potřeba rozsáhlá změna výchozích oprávnění. Další volitelné změny seznamu řízení přístupu (DACL) mohou neplatným platnost všech nebo většiny testů kompatibility aplikací, které provádí Microsoft. Podobné změny často podstupují důkladné testování, které Microsoft provedl u dalších nastavení. Případy podpory a možnosti polí ukazují, že funkce DACL upravuje a často nechtěně mění základní chování operačního systému. Tyto změny ovlivní kompatibilitu a stabilitu aplikací a zmenšují funkčnost s ohledem na výkon i možnosti.Kvůli těmto změnám nedoporučujeme upravovat seznamy DACLs systému souborů u souborů, které jsou součástí operačního systému v produkčních systémech. Doporučujeme, abyste vyhodnotli případné další změny seznamu ACL na známou hrozbu, abyste porozuměli případným možným výhodám, které mohou změny půjčovat pro konkrétní konfiguraci. Z těchto důvodů naši průvodci dělají pouze minimální změny seznamu jazyka DACL a pouze pro systém Windows 2000. Ve Windows 2000 je potřeba provést několik menších změn. Tyto změny jsou popsané v Příručce zabezpečení systému Windows 2000 Hardening Guide.Rozsáhlou škálu změn oprávnění, které se rozšíří v celém registru a systému souborů, nelze vrátit zpět. Může to mít vliv na nové složky, jako jsou složky profilů uživatelů, které nebyly přítomny v původní instalaci operačního systému. Pokud tedy odeberete nastavení seznamu Zásady skupiny, které provádí změny seznamu DACL, nebo použijete výchozí nastavení systému, nebude možné vrátit zpět původní seznamy DACL. Změny seznamu DACL ve složce %SystemDrive% mohou způsobit následující scénáře:

  • Koš už funguje tak, jak byl navržen, a soubory není možné obnovit.

  • Snížení zabezpečení, které nepomáhá správci zobrazit obsah odpadkového koše správce

  • Selhání profilů uživatelů tak, jak by mělo.

  • Snížení zabezpečení, které poskytuje interaktivním uživatelům přístup ke čtení některých nebo ke všem profilům uživatelů v systému

  • Problémy s výkonem při načítání mnoha úprav seznamu DACL do objektu Zásady skupiny, který zahrnuje dlouhou dobu přihlášení nebo opakované restartování cílového systému.

  • Problémy s výkonem, včetně zpomalení systému, každých 16 hodin, nebo tak Zásady skupiny se znovu platí nastavení systému.

  • Problémy s kompatibilitou aplikací nebo potíže s kompatibilitou aplikace se hroutí.

Aby vám pomohla odstranit nehorší výsledky takových oprávnění u souborů a registru, bude společnost Microsoft vyna všechně přiměřené úsilí v souladu se smlouvou o podpoře. Tyto změny ale momentálně není možné vrátit zpět. Můžeme zaručit, že se můžete vrátit k doporučeným předinstalním nastavením tak, že přeformátujete pevný disk a přeinstalujete operační systém.Změny jazyka DACLs v registru mají například vliv na velké části registrových registrů a mohou způsobit, že systémy už nebudou fungovat podle očekávání. Změna jazyka DACLs u jednotlivých klíčů registru představuje menší problém pro mnoho systémů. Doporučujeme vám ale, abyste pečlivě zvážit a otestovat tyto změny před jejich implementem. Opět můžeme zaručit, že se v případě přeformátování a přeinstalace operačního systému vrátíte k doporučeným předinstalovaným nastavením.

Klient sítě Microsoftu: Digitální podpis komunikace (vždy)

Když toto nastavení povolíte, musí klienti podepsat provoz blok zpráv serveru (SMB), pokud kontaktují servery, které nevyžadují podepisování SMB. Klienti tak méně ohroženi útoky k relacím. Poskytuje významné hodnoty, ale bez povolení podobné změny na serveru povolit síťovému serveru Microsoftu: Digitální podpis komunikace (vždy) nebo síťový klient Microsoftu:Digitálně podepsat komunikaci (pokud klient souhlasí) nebude klient schopen úspěšně komunikovat se serverem.

Zabezpečení sítě: Do not store LAN Manager hash value on next password change

Když toto nastavení povolíte, při změně hesla se neulože hodnota hash LM (LAN Manager) pro nové heslo. Hodnota hash LM je relativně slabá a náchylná k útoku ve srovnání s kryptograficky silnější hodnotou hash systému Microsoft Windows NT. I když toto nastavení poskytuje systému rozsáhlé další zabezpečení tím, že brání mnoha běžným nástrojům, které se lomí pomocí hesla, může toto nastavení zabránit správnému spuštění nebo spuštění některých aplikací.

Šifrování systému: Použití algoritmů kompatibilních s FIPS k šifrování, hashování a podepisování

Pokud toto nastavení povolíte, Internetová informační služba (IIS) a Microsoft Internet Explorer používají protokol TLS (Transport Layer Security) 1.0. Pokud je toto nastavení povolené na serveru se službou IIS, moci se připojit jenom webové prohlížeče, které podporují TLS 1.0. Pokud je toto nastavení ve webovém klientovi povolené, může se klient připojit jenom k serverům, které podporují protokol TLS 1.0. Tento požadavek může mít vliv na schopnost klienta navštěvovat weby, které protokol SSL (Secure Sockets Layer) (SSL). Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

811834 Weby SSL nelze navštívit poté, co povolíte zásady kompatibilní s protokolem FIPS a pokud toto nastavení povolíte na serveru, který používá Terminálovou službu, klienti musí pro připojení použít klienta PŘIPOJENÍ verze 5.2 nebo novější.Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

811833 Důsledky povolení "Systémové šifrování: Použití algoritmů kompatibilních s FIPS k šifrování, hashingu a podepisování" ve Windows XP a v novějších verzích Windows

Služba automatických aktualizací nebo inteligentní služba přenosu na pozadí (BITS) jsou zakázané

Jedním z hlavních sloupů strategie zabezpečení Microsoftu je zajistit, aby byly systémy aktuální a aktuální. Klíčovou součástí této strategie je služba Automatické aktualizace. Služby Windows Update a Software Update používají službu Automatické aktualizace. Služba Automatických aktualizací využívá inteligentní přenosovou službu na pozadí. Pokud jsou tyto služby zakázané, nebudou už počítače moct přijímat aktualizace z Windows Update prostřednictvím automatických aktualizací, ze služeb Software Update services (SUS) nebo z některých instalací Microsoft Systems Management Serveru (SMS). Tyto služby by měly být zakázané jenom v systémech, které mají efektivní aktualizační distribuční systém, který nespoléhá na bity BITS.

Služba NetLogon je zakázaná

Pokud zakážete službu NetLogon, nebude pracovní stanice spolehlivě fungovat jako člen domény. Toto nastavení může být vhodné pro některé počítače, které nejsou součástí domén. Před nasazením by ale měla být pečlivě vyhodnocená.

NoNameReleaseOnDemand

Toto nastavení zabrání serveru v tom, aby v případě konfliktu s jiným počítačem v síti znovu dořešl název net SMTP. Toto nastavení je dobrým preventivním opatřením pro útoky k odepření služby vůči názvům serverů a dalším velmi důležitým rolím serveru.Pokud toto nastavení povolíte na pracovní stanici, odmítne pracovní stanice požadavek na obnovení jeho názvu Net VIU, a to i v případě, že název koliduje s názvem důležitějšího systému, jako je například řadič domény. V tomto scénáři můžete zakázat důležité funkce domény. Microsoft důrazně podporuje oborové úsilí, aby poskytovalo pokyny k zabezpečení, které jsou zaměřené na nasazení ve vysokém zabezpečení. Tyto pokyny ale musí být důkladně otestované v cílovém prostředí. Důrazně doporučujeme, aby správci systému, kteří vyžadují další nastavení zabezpečení nad rámec výchozího nastavení, používat jako výchozí bod pro požadavky organizace příručky vydané společností Microsoft. V případě podpory nebo dotazů k průvodcům třetích stran se obraťte na organizaci, která tyto pokyny vydala.

Odkazy

Další informace o nastavení zabezpečení najdete v článku Hrozby a protichůdná opatření: Nastavení zabezpečení ve Windows Serveru 2003 a Windows XP. Pokud si chcete tuto příručku stáhnout, navštivte následující web Microsoftu:

http://go.microsoft.com/fwlink/?LinkId=15159Další informace o dopadech některých dalších klíčových nastavení zabezpečení zobrazíte kliknutím na následující číslo článku ve znalostní bázi Microsoft Knowledge Base:

823659 Nekompatibility klientů, služeb a programů, ke kterým může dojít při úpravě nastavení zabezpečení a přiřazení uživatelských práv. Další informace o dopadech vyžadování algoritmů kompatibilních s protokolem FIPS najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

811833 Důsledky povolení "Systémové šifrování: Použití algoritmů kompatibilních s FIPS k nastavení zabezpečení pro šifrování, hashing a podepisování" ve Windows XP a novějších verzích Microsoftu poskytuje kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost informací o kontaktech na jiné výrobce.Informace o výrobce hardwaru najdete na následujícím webu Microsoftu:

http://support.microsoft.com/gp/vendors/en-us

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.