Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Oversigt

Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) og NIST (National Institute of Standards and Technology) har udgivet "sikkerhedskonfigurationsvejledning" til Microsoft Windows.

De høje sikkerhedsniveauer, der er angivet i nogle af disse hjælpelinjer, kan begrænse funktionaliteten i et system betydeligt. Derfor skal du udføre betydelige tests, før du implementerer disse anbefalinger. Vi anbefaler, at du tager yderligere forholdsregler, når du gør følgende:

  • Rediger adgangskontrollister for filer og registreringsdatabasenøgler

  • Aktivér Microsoft-netværksklient: Signere kommunikation digitalt (altid)

  • Aktivér netværkssikkerhed: Gem ikke LAN Manager-hash-værdi ved næste ændring af adgangskode

  • Aktivér systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering

  • Deaktiver automatisk opdateringstjeneste eller BITS (Background Intelligent Transfer Service)

  • Deaktiver NetLogon-tjeneste

  • Aktivér NoNameReleaseOnDemand

Microsoft understøtter på det kraftigste branche bestræbelser på at levere sikkerhedsvejledning til installationer på områder med høj sikkerhed. Du skal dog teste vejledningen grundigt i destinationsmiljøet. Hvis du har brug for yderligere sikkerhedsindstillinger ud over standardindstillingerne, anbefaler vi, at du får vist de Microsoft-udstedte vejledninger. Disse vejledninger kan fungere som udgangspunkt for organisationens krav. Hvis du har brug for support eller spørgsmål om tredjepartsguider, skal du kontakte den organisation, der udstedte vejledningen.

Introduktion

I løbet af de seneste år har en række organisationer, herunder Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) og National Institute of Standards and Technology (NIST) udgivet "sikkerhedskonfigurationsvejledning" til Windows. Som med enhver anden sikkerhedsvejledning har den ekstra sikkerhed, der kræves ofte, en negativ effekt på brugervenligheden.

Flere af disse vejledninger, herunder vejledninger fra Microsoft, fra CIS og fra NIST, indeholder flere niveauer af sikkerhedsindstillinger. Disse hjælpelinjer kan omfatte niveauer, der er udviklet til følgende:

  • Interoperabilitet med ældre operativsystemer

  • Virksomhedsmiljøer

  • Udvidet sikkerhed, der giver begrænset funktionalitet Bemærk Dette niveau kaldes ofte speciel sikkerhed – begrænset funktionalitet eller

    højt sikkerhedsniveau.

Niveauet Høj sikkerhed eller Særlig sikkerhed – begrænset funktionalitet – er designet specielt til meget vigtige miljøer, der er forbundet med stor risiko for angreb. Dette niveau giver oplysninger om den højest mulige værdi, f.eks. oplysninger, der kræves af nogle offentlige systemer. Niveauet Høj sikkerhed for de fleste af denne offentlige vejledning er upassende i de fleste systemer, der kører Windows. Vi anbefaler, at du ikke bruger høj sikkerhed på arbejdsstationer til generelle formål. Vi anbefaler, at du kun bruger niveauet med høj sikkerhed på systemer, hvor kompromis kan medføre tab af levetid, tab af meget værdifulde oplysninger eller tab af mange penge.

Flere grupper har arbejdet sammen med Microsoft om at udarbejde disse sikkerhedsvejledninger. I mange tilfælde adresserer disse hjælpelinjer alle lignende trusler. Men hver vejledning adskiller sig en smule på grund af lovmæssige krav, lokal politik og funktionelle krav. Derfor kan indstillingerne variere fra ét sæt anbefalinger til det næste. Afsnittet "Organisationer, der udarbejder offentligt tilgængelige sikkerhedsvejledninger", indeholder en oversigt over hver sikkerhedsvejledning.

Flere oplysninger

Organisationer, der udarbejder offentligt tilgængelige sikkerhedsvejledninger

Microsoft Corporation

Microsoft giver vejledning til, hvordan du sikrer vores egne operativsystemer. Vi har udviklet følgende tre niveauer af sikkerhedsindstillinger:

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Særlig sikkerhed – begrænset funktionalitet (SSLF)

Vi har grundigt testet denne vejledning til brug i mange kundescenarier. Vejledningen er relevant for enhver organisation, der ønsker at hjælpe med at sikre sine Windows-baserede computere.

Vi understøtter fuldt ud vores vejledninger på grund af den omfattende test, vi har udført i vores programkompatibilitetskompatibilitet på disse vejledninger. Besøg følgende Microsoft-websteder for at downloade vores vejledninger:

Hvis du oplever problemer eller har kommentarer, når du har implementeret Microsoft-sikkerhedsvejledningerne, kan du give feedback ved at sende en mail til secwish@microsoft.com.



Sikkerhedskonfigurationsvejledning til Windows-operativsystemet, Internet Explorer og Office-produktivitetspakken findes i Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


The Center for Internet Security

CIS har udviklet benchmarks for at levere oplysninger, der hjælper organisationer med at træffe informerede beslutninger om visse tilgængelige sikkerhedsvalg. CIS har leveret tre niveauer af sikkerheds-benchmarks:

  • Ældre

  • Enterprise

  • Høj sikkerhed

Hvis du oplever problemer eller har kommentarer, når du implementerer cis-benchmarkindstillingerne, kan du kontakte CIS ved at sende en mail til win2k-feedback@cisecurity.org.

Bemærk, at CIS's vejledning er blevet ændret, siden vi oprindeligt udgav denne artikel (3. november 2004). CIS's aktuelle vejledning ligner den vejledning, som Microsoft leverer. Du kan finde flere oplysninger om den vejledning, som Microsoft leverer, i afsnittet "Microsoft Corporation" tidligere i denne artikel.

The National Institute of Standards and Technology

NIST er ansvarlig for at oprette sikkerhedsvejledninger for den amerikanske føderale stat. NIST har oprettet fire niveauer af sikkerhedsvejledning, der bruges af amerikanske føderale myndigheder, private organisationer og offentlige organisationer:

  • SoHo

  • Ældre

  • Enterprise

  • Særlig sikkerhed – begrænset funktionalitet

Hvis du oplever problemer eller har kommentarer, når du har implementeret NIST-sikkerhedsskabelonerne, skal du kontakte NIST ved at sende en mail til itsec@nist.gov.

Bemærk, at NIST's vejledning er blevet ændret, siden vi oprindeligt udgav denne artikel (3. november 2004). Den aktuelle vejledning i NIST ligner den vejledning, som Microsoft leverer. Du kan finde flere oplysninger om den vejledning, som Microsoft leverer, i afsnittet "Microsoft Corporation" tidligere i denne artikel.

The Defense Information Systems Agency

DISA opretter en vejledning, der specifikt kan bruges i det amerikanske forsvar (DOD). AMERIKANSKE DOD-brugere, der oplever problemer eller har kommentarer, efter de implementerer DISA-konfigurationsvejledningen, kan give feedback ved at sende en mail til fso_spt@ritchie.disa.mil.

Note DISA's vejledning er blevet ændret, siden vi oprindeligt udgav denne artikel (3. november 2004). DISA's aktuelle vejledning er tilsvarende eller identisk med den vejledning, som Microsoft leverer. Du kan finde flere oplysninger om den vejledning, som Microsoft leverer, i afsnittet "Microsoft Corporation" tidligere i denne artikel.

Det nationale sikkerhedskontor (NSA)

NSA har lavet vejledning for at hjælpe med at sikre computere med høj risiko i det amerikanske forsvar (DOD). NSA har udviklet et enkelt niveau af vejledning, der svarer omtrent til niveauet med høj sikkerhed, der produceres af andre organisationer.

Hvis du oplever problemer eller har kommentarer, når du har implementeret NSA-sikkerhedsvejledningerne til Windows XP, kan du give feedback ved at sende en mail til XPGuides@nsa.gov. Hvis du vil give feedback på vejledningerne til Windows 2000, skal du sende en mail til w2kguides@nsa.gov.

Bemærk, at NSA's vejledning er blevet ændret, siden vi oprindeligt udgav denne artikel (3. november 2004). NSA's aktuelle vejledning ligner eller er identisk med den vejledning, som Microsoft leverer. Du kan finde flere oplysninger om den vejledning, som Microsoft leverer, i afsnittet "Microsoft Corporation" tidligere i denne artikel.

Problemer med sikkerhedsvejledning

Som nævnt tidligere i denne artikel er de høje sikkerhedsniveauer, der er beskrevet i nogle af disse vejledninger, designet til at begrænse funktionaliteten af et system betydeligt. På grund af denne begrænsning skal du teste et system grundigt, før du implementerer disse anbefalinger.

Bemærk, at den sikkerhedsvejledning, der er angivet for niveauerne SoHo, Legacy eller Enterprise, ikke er blevet rapporteret til at påvirke systemfunktionaliteten alvorligt. Denne Vidensbaseartikel fokuserer primært på den vejledning, der er knyttet til det højeste sikkerhedsniveau. 

Vi understøtter på det kraftigste branche bestræbelser på at levere sikkerhedsvejledning til installationer på områder med høj sikkerhed. Vi fortsætter med at arbejde med sikkerhedsstandardgrupper for at udvikle nyttig vejledning til hardefinering, der er fuldt testet. Der udstedes altid stærke advarsler fra tredjeparter for at teste retningslinjerne fuldt ud i destinationsmiljøer med høj sikkerhed. Disse advarsler bliver dog ikke altid ane. Sørg for at teste alle sikkerhedskonfigurationer i destinationsmiljøet grundigt. Sikkerhedsindstillinger, der er forskellige fra dem, som vi anbefaler, kan gøre test af programkompatibilitet, der udføres som en del af testprocessen i operativsystemet, ugyldig. Desuden fraråder vi og tredjeparter specifikt at anvende kladdevejledningen i et live produktionsmiljø i stedet for i et testmiljø.

De høje niveauer af disse sikkerhedsvejledninger indeholder adskillige indstillinger, som du nøje bør evaluere, før du implementerer dem. Selvom disse indstillinger kan give yderligere sikkerhedsfordele, kan indstillingerne have en negativ effekt på systemets brugbarhed.

Ændringer af filsystem og adgangsstyringsliste i registreringsdatabasen

Windows XP og nyere versioner af Windows har betydeligt strammede tilladelser i hele systemet. Derfor bør større ændringer af standardtilladelser ikke være nødvendige. 

Yderligere ændringer i adgangskontrollisten (DACL) kan gøre alle eller de fleste af de test af programkompatibilitet, der udføres af Microsoft, ugyldige. Ofte har ændringer som disse ikke gennemgået den grundige test, som Microsoft har udført på andre indstillinger. Supportsager og feltoplevelsen har vist, at DACL-redigeringer ændrer operativsystemets grundlæggende funktionsmåde, ofte på utilsigtede måder. Disse ændringer påvirker programkompatibilitet og stabilitet og reducerer funktionaliteten, både med hensyn til ydeevne og funktionalitet.

På grund af disse ændringer anbefaler vi, at du ikke ændrer filsystem-DACLs på filer, der er inkluderet i operativsystemet på produktionssystemer. Vi anbefaler, at du evaluerer eventuelle yderligere ACL-ændringer mod en kendt trussel for at forstå potentielle fordele, som ændringerne kan give i en bestemt konfiguration. Derfor foretager vores vejledninger kun minimale DACL-ændringer og kun i Windows 2000. I Windows 2000 kræves der flere mindre ændringer. Disse ændringer er beskrevet i sikkerhedsvejledningen til Windows 2000.

Omfattende ændringer af tilladelser, der overføres i hele registreringsdatabasen og filsystemet, kan ikke fortrydes. Nye mapper, f.eks. brugerprofilmapper, der ikke var til stede i den oprindelige installation af operativsystemet, kan blive påvirket. Hvis du fjerner en Gruppepolitik der udfører DACL-ændringer, eller du anvender systemstandardindstillingerne, kan du derfor ikke rulle de oprindelige DACLs tilbage. 

Ændringer af DACL i mappen %SystemDrive% kan forårsage følgende scenarier:

  • Papirkurv fungerer ikke længere som designet, og filer kan ikke gendannes.

  • En reduktion af sikkerheden, der giver en ikke-administrator mulighed for at se indholdet af administratorens papirkurv.

  • Manglende funktion af brugerprofiler som forventet.

  • En reduktion af sikkerheden, der giver interaktive brugere læseadgang til nogle eller alle brugerprofiler i systemet.

  • Problemer med ydeevnen, når mange DACL-redigeringer indlæses i et Gruppepolitik-objekt, der omfatter lange logontider eller gentagne genstarter af destinationssystemet.

  • Problemer med ydeevnen, herunder systemets langsomhed, hver 16. time, Gruppepolitik indstillingerne anvendes igen.

  • Programkompatibilitetsproblemer, eller programmet går ned.

For at hjælpe dig med at fjerne de værst tænkelige resultater af sådanne fil- og registreringsdatabasetilladelser yder Microsoft et kommercielt fornuftigt arbejde i overensstemmelse med din supportkontrakt. Du kan dog ikke i øjeblikket rulle disse ændringer tilbage. Vi kan kun garantere, at du kan vende tilbage til de anbefalede standardindstillinger ved at omformatere harddisken og ved at geninstallere operativsystemet.

Eksempelvis påvirker ændringer af DACLs i registreringsdatabasen store dele af registreringsdatabasens hives og kan medføre, at systemer ikke længere fungerer som forventet. Ændring af DACLs på enkelte registreringsdatabasenøgler udgør mindre af et problem for mange systemer. Vi anbefaler dog, at du nøje overvejer og tester disse ændringer, før du implementerer dem. Igen kan vi garantere, at du kun kan vende tilbage til de anbefalede standardindstillinger, hvis du omformaterer og geninstallerer operativsystemet.

Microsoft-netværksklient: Signere kommunikation digitalt (altid)

Når du aktiverer denne indstilling, skal klienter signere SMB-trafik (Server Message Block), når de kontakter servere, der ikke kræver SMB-signering. Det gør klienter mindre sårbar over for sessionsangreb. Det giver en betydelig værdi, men uden at aktivere en lignende ændring på serveren for at aktivere Microsoft-netværksserver: Signere kommunikation (altid) eller Microsoft-netværksklient digitalt: Digitaltsignere kommunikation (hvis klienten accepterer), kan klienten ikke kommunikere med serveren.

Netværkssikkerhed: Gem ikke LAN Manager-hash-værdi ved næste ændring af adgangskode

Når du aktiverer denne indstilling, gemmes LAN Manager-hash-værdien (LM) for en ny adgangskode ikke, når adgangskoden ændres. LM-hash er relativt svag og kan være udsat for angreb sammenlignet med den kryptografisk set stærkere Microsoft Windows NT-hash. Selvom denne indstilling giver omfattende ekstra sikkerhed til et system ved at forhindre mange almindelige værktøjer til revneadgang, kan indstillingen forhindre nogle programmer i at starte eller køre korrekt.

Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering

Når du aktiverer denne indstilling, bruger Internet Information Services (IIS) og Microsoft Internet Explorer kun TLS 1.0-protokollen (Transport Layer Security). Hvis denne indstilling er aktiveret på en server, der kører IIS, er det kun webbrowsere, der understøtter TLS 1.0, der kan oprette forbindelse. Hvis denne indstilling er aktiveret på en webklient, kan klienten kun oprette forbindelse til servere, der understøtter TLS 1.0-protokollen. Dette krav kan påvirke en klients mulighed for at besøge websteder, der bruger Secure Sockets Layer (SSL). Du kan få mere at vide ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

811834 Der kan ikke gås til SSL-websteder, efter du har aktiveret FIPS-kompatibel kryptografi. Når du aktiverer denne indstilling på en server, der bruger Terminal Services, tvinges klienter desuden til at bruge RDP-klienten 5.2 eller nyere versioner til at oprette
forbindelse.

Du kan få mere at vide ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

811833 Effekten af aktivering af sikkerhedsindstillingen "Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering" i Windows XP og i nyere versioner af Windows

Automatisk opdateringstjeneste eller BITS (Background Intelligent Transfer Service) er deaktiveret

En af de vigtigste søjler i Microsofts sikkerhedsstrategi er at sikre, at systemerne holdes opdateret om opdateringer. En vigtig komponent i denne strategi er tjenesten Automatiske opdateringer. Både Windows Update- og Softwareopdateringstjenester bruger tjenesten Automatiske opdateringer. Tjenesten Automatiske opdateringer afhænger af BITS (Background Intelligent Transfer Service). Hvis disse tjenester er deaktiveret, vil computerne ikke længere kunne modtage opdateringer fra Windows Update via automatiske opdateringer, fra softwareopdateringstjenester (SUS) eller fra visse installationer af Microsoft Systems Management Server (SMS). Disse tjenester bør kun deaktiveres på systemer, der har et effektivt opdateringsdistributionssystem, der ikke er afhængige af BITS.

NetLogon-tjenesten er deaktiveret

Hvis du deaktiverer NetLogon-tjenesten, fungerer en arbejdsstation ikke længere pålideligt som et domænemedlem. Denne indstilling kan være relevant for nogle computere, der ikke deltager i domæner. Den skal dog nøje evalueres før udrulning.

NoNameReleaseOnDemand

Denne indstilling forhindrer, at en server opgiver sit Net COMPUTEREN-navn, hvis der opstår konflikter med en anden computer på netværket. Denne indstilling er en god sikkerhedsforanstaltning ved denial of service-angreb på navneservere og andre meget vigtige serverroller.

Når du aktiverer denne indstilling på en arbejdsstation, afviser arbejdsstationen at opgive sit NetDOMÆNES-navn, selvom navnet er i konflikt med navnet på et vigtigere system, f.eks. en domænecontroller. Dette scenarie kan deaktivere vigtig domænefunktionalitet. Microsoft understøtter på det kraftigste branche bestræbelser på at levere sikkerhedsvejledning, der er målrettet udrulning på områder med høj sikkerhed. Denne vejledning skal dog testes grundigt i destinationsmiljøet. Vi anbefaler på det kraftigste, at systemadministratorer, der kræver yderligere sikkerhedsindstillinger ud over standardindstillingerne, bruger De Microsoft-udstedte vejledninger som udgangspunkt for deres organisations krav. Hvis du har brug for support eller spørgsmål om tredjepartsguider, skal du kontakte den organisation, der udstedte vejledningen.

Referencer

Du kan finde flere oplysninger om sikkerhedsindstillinger under Trusler og modforanstaltninger: Sikkerhedsindstillinger i Windows Server 2003 og Windows XP. Hvis du vil downloade denne vejledning, skal du besøge følgende Microsoft-websted:

http://go.microsoft.com/fwlink/?LinkId=15159Du kan finde flere oplysninger om effekten af nogle ekstra vigtige sikkerhedsindstillinger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

823659 Klient-, tjeneste- og programinkompatibiliteter, der kan opstå, når du ændrer sikkerhedsindstillinger og brugerrettighederstildelingerFor at få flere oplysninger om konsekvenserne af at kræve FIPS-kompatible algoritmer skal du klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

811833 Effekten af aktivering af "Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering" i Windows XP og nyere versioner AfMicrosoft giver dig kontaktoplysninger fra tredjepart, så du kan finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere, at kontaktoplysningerne vedrørende tredjepart er nøjagtige.


Du kan finde oplysninger om hardwareproducenten på følgende Microsoft-websted:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-mail

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×