Zusammenfassung

Microsoft, das Center for Internet Security (CENTERS), die National Security Agency (NSA), die Defense Information Systems Agency (DISA) und das National Institute of Standards and Technology (NIST) haben einen "Leitfaden zur Sicherheitskonfiguration" für Microsoft Windows veröffentlicht. Die in einigen dieser Leitfäden angegebenen hohen Sicherheitsstufen können die Funktionalität eines Systems erheblich einschränken. Daher sollten Sie erhebliche Tests durchführen, bevor Sie diese Empfehlungen bereitstellen. Es wird empfohlen, zusätzliche Vorsichtsmaßnahmen zu ergreifen, wenn Sie die folgenden Schritte tun:

  • Bearbeiten von Zugriffssteuerungslisten (ACLs) für Dateien und Registrierungsschlüssel

  • Aktivieren des Microsoft-Netzwerkclients: Digitales Signieren der Kommunikation (immer)

  • Aktivieren der Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht

  • Aktivieren der Systemkryptografie: Verwenden von FIPS-kompatiblen Algorithmen zum Verschlüsseln, Hashing und Signieren

  • Deaktivieren des Automatischen Updatediensts oder Background Intelligent Transfer Service (BITS)

  • Deaktivieren des NetLogon-Diensts

  • Enable NoNameReleaseOnDemand

Microsoft unterstützt dringend branchenführende Bemühungen, Sicherheitsleitfäden für Bereitstellungen in Bereichen mit hoher Sicherheit zur Verfügung zu stellen. Sie müssen jedoch die Anleitungen in der Zielumgebung gründlich testen. Wenn Sie zusätzliche Sicherheitseinstellungen benötigen, die über die Standardeinstellungen hinausgehen, wird dringend empfohlen, dass Sie die von Microsoft ausgestellten Leitfäden lesen. Diese Leitfäden können als Ausgangspunkt für die Anforderungen Ihrer Organisation dienen. Wenn Sie Support oder Fragen zu Leitfäden von Drittanbietern haben, wenden Sie sich an die Organisation, die die Anleitung ausgestellt hat.

Einführung

In den letzten Jahren haben eine Reihe von Organisationen, darunter Microsoft, das Center for Internet Security (ÜBER), die National Security Agency (NSA), die Defense Information Systems Agency (DISA) und das National Institute of Standards and Technology (NIST) für Windows veröffentlicht. Wie bei jedem Sicherheitsleitfaden wirkt sich die zusätzliche erforderliche Sicherheit häufig negativ auf die Nutzbarkeit aus. Einige dieser Leitfäden, einschließlich der Leitfäden von Microsoft, von SIND und von NIST, enthalten mehrere Sicherheitseinstellungen. Diese Führungslinien können Ebenen umfassen, die für die folgenden Aufgaben ausgelegt sind:

  • Interoperabilität mit älteren Betriebssystemen

  • Enterprise-Umgebungen

  • Erweiterte Sicherheit, die eingeschränkte Funktionalität bietet Hinweis Diese Stufe wird häufig als Ebene "Spezialsicherheit – Eingeschränkte Funktionalität" oder "Hohe Sicherheit" bezeichnet.

Das Level High Security oder Specialized Security – Limited Functionality wurde speziell für Umgebungen mit hohem Sicherheitsrisiko entwickelt. Diese Stufe schutzt Informationen mit dem höchsten möglichen Wert, z. B. Informationen, die von einigen Behördensystemen benötigt werden. Die High Security-Stufe der meisten dieser öffentlichen Richtlinien ist für die meisten Systeme, die mit Windows. Wir empfehlen, die Stufe "Hohe Sicherheit" nicht auf allgemeinen Arbeitsstationen zu verwenden. Wir empfehlen, high security level nur auf Systemen zu verwenden, bei denen ein Kompromiss zum Verlust des Lebens, zum Verlust sehr wertvoller Informationen oder zum Verlust einer Menge Geld führen würde.Mehrere Gruppen arbeiteten mit Microsoft zusammen, um diese Sicherheitshandbücher zu erstellen. In vielen Fällen sind alle Leitfäden für ähnliche Bedrohungen von Bedrohungen zu finden. Jede Anleitung unterscheidet sich jedoch geringfügig aufgrund gesetzlicher Anforderungen, lokaler Richtlinien und funktionaler Anforderungen. Aus diesem Grund können die Einstellungen von einer Reihe von Empfehlungen zur nächsten variieren. Der Abschnitt "Organisationen, die öffentlich verfügbare Sicherheitsleitfäden erstellen" enthält eine Zusammenfassung der einzelnen Sicherheitsleitfäden.

Weitere Informationen

Organisationen, die öffentlich verfügbare Sicherheitsleitfäden erstellen

Microsoft Corporation

Microsoft bietet Anleitungen, wie Sie unsere eigenen Betriebssysteme schützen können. Wir haben die folgenden drei Sicherheitsstufen entwickelt:

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Spezialsicherheit – Eingeschränkte Funktionalität (LIMITED Functionality, SSLF)

Wir haben diese Anleitungen für die Verwendung in vielen Kundenszenarien gründlich getestet. Die Anleitung ist für jede Organisation geeignet, die dazu beitragen möchte, ihre Windows-basierten Computer zu schützen.Aufgrund der umfangreichen Tests, die in unseren Anwendungskompatibilitätstests auf diesen Leitfäden durchgeführt wurden, unterstützen wir unsere Leitfäden vollständig. Besuchen Sie die folgenden Microsoft-Websites, um unsere Leitfäden herunterzuladen:

Wenn nach der Implementierung der Microsoft-Sicherheitsleitfäden Probleme auftreten oder Kommentare enthalten sind, können Sie Feedback geben, indem Sie eine E-Mail-Nachricht an secwish@microsoft.com.Sicherheitskonfigurationsrichtlinien für Windows Betriebssystem, Internet Explorer und für die Office Produktivitätssuite finden Sie in Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.

Das Center für Internetsicherheit

ZUR ZEIT hat Benchmarks entwickelt, um Informationen zur Verfügung zu stellen, die Organisationen dabei unterstützen, fundierte Entscheidungen zu bestimmten verfügbaren Sicherheitsoptionen zu treffen. ZUR ZEIT hat drei Stufen von Sicherheitsd benchmarks bereitgestellt:

  • Legacy

  • Enterprise

  • Hohe Sicherheit

Wenn nach Implementierung der BENCHMARK-Benchmarkeinstellungen Probleme auftreten oder Kommentare angezeigt werden, wenden Sie sich an WILL, indem Sie eine E-Mail-Nachricht an win2k-feedback@cisecurity.org.Hinweis: DIE ANLEITUNG FÜR HEUTE hat sich seit der ursprünglichen Veröffentlichung dieses Artikels (3. November 2004) geändert. DIE AKTUELLE Anleitung ähnelt der Anleitung, die Microsoft bietet. Weitere Informationen zu den richtlinien von Microsoft erhalten Sie im Abschnitt "Microsoft Corporation" weiter oben in diesem Artikel.

The National Institute of Standards and Technology

NIST ist für die Erstellung von Sicherheitsleitfäden für die US-Regierung zuständig. NIST hat vier Sicherheitsleitfäden erstellt, die von der US-Regierung, privaten Organisationen und öffentlichen Organisationen verwendet werden:

  • SoHo

  • Legacy

  • Enterprise

  • Spezialisierte Sicherheit – Eingeschränkte Funktionalität

Wenn nach der Implementierung der NIST-Sicherheitsvorlagen Probleme auftreten oder Kommentare enthalten sind, wenden Sie sich an NIST, indem Sie eine E-Mail-Nachricht an itsec@nist.gov.Beachten Sie, dass sich die Richtlinien von NIST seit der ursprünglichen Veröffentlichung dieses Artikels (3. November 2004) geändert haben. Die aktuelle Anleitung von NIST ähnelt den Richtlinien, die microsoft bietet. Weitere Informationen zu den richtlinien von Microsoft erhalten Sie im Abschnitt "Microsoft Corporation" weiter oben in diesem Artikel.

The Defense Information Systems Agency

DISA erstellt Anleitungen speziell für die Verwendung im United States Department of Defense (DOD). DoD-Benutzer in den USA, die nach der Implementierung des DISA-Konfigurationsleitfadens Probleme oder Kommentare haben, können Feedback geben, indem sie eine E-Mail-Nachricht an fso_spt@ritchie.disa.mil.Hinweis Die Richtlinien von DISA haben sich seit der ursprünglichen Veröffentlichung dieses Artikels (3. November 2004) geändert. Der aktuelle Leitfaden von DISA ist mit dem von Microsoft erstellten Leitfaden vergleichbar oder identisch. Weitere Informationen zu den richtlinien von Microsoft erhalten Sie im Abschnitt "Microsoft Corporation" weiter oben in diesem Artikel.

The National Security Agency (NSA)

NSA hat Richtlinien erstellt, die Ihnen helfen sollen, Computer mit hohem Risiko im UNITED States Department of Defense (DOD) zu sichern. NSA hat eine einzelne Ebene von Anleitungen entwickelt, die in etwa der High Security-Ebene entspricht, die von anderen Organisationen produziert wird.Wenn nach der Implementierung der NSA-Sicherheitsleitfäden für Windows XP Probleme auftreten oder Kommentare enthalten sind, können Sie Feedback geben, indem Sie eine E-Mail-Nachricht an XPGuides@nsa.gov. Um Feedback zu den Handbüchern Windows 2000 zu geben, senden Sie eine E-Mail-Nachricht an w2kguides@nsa.gov.Hinweis Die Richtlinien der NSA haben sich seit der ursprünglichen Veröffentlichung dieses Artikels (3. November 2004) geändert. Der aktuelle Leitfaden der NSA ist mit dem von Microsoft erstellten Leitfaden identisch oder ähnlich. Weitere Informationen zu den richtlinien von Microsoft erhalten Sie im Abschnitt "Microsoft Corporation" weiter oben in diesem Artikel.

Probleme mit Sicherheitsleitfäden

Wie weiter oben in diesem Artikel erwähnt, wurden die hohen Sicherheitsstufen, die in einigen dieser Leitfäden beschrieben sind, so gestaltet, dass die Funktionalität eines Systems erheblich eingeschränkt wird. Aufgrund dieser Einschränkung sollten Sie ein System gründlich testen, bevor Sie diese Empfehlungen bereitstellen. Hinweis Die für die Stufen "SoHo", "Legacy" oder "Enterprise" bereitgestellten Sicherheitsleitfäden haben keine schwerwiegenden Auswirkungen auf die Systemfunktionalität. Dieser Knowledge Base-Artikel konzentriert sich hauptsächlich auf die Anleitungen, die der höchsten Sicherheitsstufe zugeordnet sind. Wir unterstützen die Anstrengungen der Branche, Sicherheitsleitfäden für Bereitstellungen in Bereichen mit hoher Sicherheit zu bieten. Wir arbeiten weiterhin mit Sicherheitsstandards-Gruppen zusammen, um nützliche, vollständig getestete Richtlinien für die Qualität zu entwickeln. Sicherheitsrichtlinien von Drittanbietern werden immer mit starken Warnungen ausgegeben, um die Richtlinien in Hochsicherheitsumgebungen vollständig zu testen. Diese Warnungen werden jedoch nicht immer ignoriert. Stellen Sie sicher, dass Sie alle Sicherheitskonfigurationen in Ihrer Zielumgebung gründlich testen. Sicherheitseinstellungen, die von den empfohlenen Einstellungen abweichen, können die Anwendungskompatibilitätstests, die im Rahmen des Testprozesses des Betriebssystems durchgeführt werden, möglicherweise ungültig machen. Darüber hinaus raten wir und Dritte ausdrücklich davon ab, den Entwurfsleitfaden in einer Liveproduktionsumgebung statt in einer Testumgebung zu verwenden. Die hohen Ebenen dieser Sicherheitsleitfäden enthalten mehrere Einstellungen, die Sie vor der Implementierung sorgfältig auswerten sollten. Obwohl diese Einstellungen zusätzliche Sicherheitsvorteile mit sich bringen können, haben die Einstellungen möglicherweise negative Auswirkungen auf die Benutzerfreundlichkeit des Systems.

Änderungen an der Datei- und Registrierungszugriffssteuerungsliste

Windows XP und höhere Versionen von Windows die Berechtigungen im gesamten System erheblich reduziert. Daher sollten keine umfangreichen Änderungen an den Standardberechtigungen erforderlich sein. Zusätzliche DaCL-Änderungen (Access Control List) mit eigenem Ermessen können dazu führte, dass alle oder die meisten Anwendungskompatibilitätstests, die von Microsoft durchgeführt werden, ungültig werden. Häufig wurden an diesen Änderungen die gründlichen Tests, die Microsoft für andere Einstellungen durchgeführt hat, nicht durchgeführt. Supportfälle und Felderfahrungen haben gezeigt, dass DACL-Änderungen das grundlegende Verhalten des Betriebssystems ändern, häufig auf unbeabsichtigte Weise. Diese Änderungen wirken sich auf Anwendungskompatibilität und -stabilität aus und verringern die Funktionalität, sowohl hinsichtlich Leistung als auch Funktion.Aufgrund dieser Änderungen empfehlen wir nicht, Dateisystem-DACLs für Dateien zu ändern, die in Produktionssystemen im Betriebssystem enthalten sind. Es wird empfohlen, alle weiteren ACL-Änderungen mit einer bekannten Bedrohung auszuwerten, um mögliche Vorteile zu verstehen, die die Änderungen für eine bestimmte Konfiguration bieten können. Aus diesen Gründen nehmen unsere Leitfäden nur sehr minimale DACL-Änderungen und nur die Windows 2000 vor. Für Windows 2000 sind mehrere kleinere Änderungen erforderlich. Diese Änderungen werden im Handbuch Windows 2000 Security Hardening beschrieben.Umfangreiche Berechtigungsänderungen, die im gesamten Registrierungs- und Dateisystem verteilt werden, können nicht rückgängig gemacht werden. Möglicherweise sind neue Ordner betroffen, z. B. Benutzerprofilordner, die bei der ursprünglichen Installation des Betriebssystems nicht vorhanden waren. Wenn Sie eine Gruppenrichtlinieneinstellung entfernen, bei der DACL-Änderungen vorgenommen werden, oder wenn Sie die Systemeinstellungen anwenden, können Sie daher keine Rollback der ursprünglichen DACLs vornehmen. Änderungen an der DACL-Datei im Ordner "%SystemDrive%" können die folgenden Szenarien verursachen:

  • Der Papierkorb funktioniert nicht mehr wie geplant, und Dateien können nicht wiederhergestellt werden.

  • Eine Verringerung der Sicherheit, die es einem Benutzer ohne Administratorrechte ermöglicht, den Inhalt des Papierkorbs des Administrators anzuzeigen.

  • Fehler bei Benutzerprofilen, die wie erwartet funktionieren.

  • Eine Verringerung der Sicherheit, die interaktiven Benutzern Lesezugriff auf einige oder alle Benutzerprofile im System bietet.

  • Leistungsprobleme, wenn viele DACL-Bearbeitungen in ein Gruppenrichtlinienobjekt geladen werden, das lange Anmeldezeiten oder wiederholte Neustarts des Zielsystems enthält.

  • Leistungsprobleme, einschließlich Systemstörungen, werden alle 16 Stunden erneut angewendet, wenn Gruppenrichtlinieneinstellungen angewendet werden.

  • Anwendungskompatibilitätsprobleme oder Anwendungsabstürzen.

Um Ihnen dabei zu helfen, die schlechtesten Ergebnisse solcher Datei- und Registrierungsberechtigungen zu entfernen, stellt Microsoft gewerblich angemessene Anstrengungen im Rahmen Ihres Supportvertrags zur Verfügung. Derzeit ist jedoch kein Rollback dieser Änderungen möglich. Wir können nur garantieren, dass Sie zu den empfohlenen Standardmäßigen Einstellungen zurückkehren können, indem Sie die Festplatte neuformatieren und das Betriebssystem erneut installieren.Änderungen an Registrierungs-DACLs wirken sich beispielsweise auf große Teile der Registrierungsstruktur aus und können dazu führen, dass Systeme nicht mehr wie erwartet funktionieren. Das Ändern der DACLs für einzelne Registrierungsschlüssel stellt für viele Systeme kein weiteres Problem dar. Es wird jedoch empfohlen, diese Änderungen sorgfältig zu berücksichtigen und zu testen, bevor Sie sie implementieren. Auch hier können wir nur garantieren, dass Sie zu den empfohlenen Standardeinstellungen zurückkehren können, wenn Sie das Betriebssystem neu aktualisieren und erneut installieren.

Microsoft-Netzwerkclient: Digitales Signieren der Kommunikation (immer)

Wenn Sie diese Einstellung aktivieren, müssen Clients SMB-Datenverkehr (Server Message Block) signieren, wenn sie Server kontaktieren, für die keine SMB-Signatur erforderlich ist. Dadurch sind Clients weniger anfällig für Sitzungs-Hijacking-Angriffe. Es bietet einen signifikanten Wert, ohne eine ähnliche Änderung auf dem Server zu ermöglichen, um den Microsoft-Netzwerkserver zu aktivieren: Digitales Signieren der Kommunikation (immer) oder Microsoft-Netzwerkclient:Digitales Signieren der Kommunikation (wenn der Client zustimmt) , kann der Client nicht erfolgreich mit dem Server kommunizieren.

Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht.

Wenn Sie diese Einstellung aktivieren, wird der LAN-Manager-Hashwert (LM) für ein neues Kennwort nicht gespeichert, wenn das Kennwort geändert wird. Der LM-Hash ist relativ schwach und anfällig für Angriffe im Vergleich zum kryptografisch stärkeren Microsoft Windows NT-Hash. Obwohl diese Einstellung umfangreiche zusätzliche Sicherheit für ein System bietet, da viele häufige Dienstprogramme zum Knacken von Kennwörtern verhindert werden, kann die Einstellung verhindern, dass einige Anwendungen ordnungsgemäß gestartet oder ausgeführt werden.

Systemkryptografie: Verwenden von FIPS-kompatiblen Algorithmen zum Verschlüsseln, Hashing und Signieren

Wenn Sie diese Einstellung aktivieren, Internetinformationsdienste (IIS) und Microsoft Internet Explorer nur das TLS 1.0-Protokoll (Transport Layer Security) verwenden. Wenn diese Einstellung auf einem Server mit IIS aktiviert ist, können nur Webbrowser, die TLS 1.0 unterstützen, eine Verbindung herstellen. Wenn diese Einstellung auf einem Webclient aktiviert ist, kann der Client nur Verbindungen mit Servern herstellen, die das TLS 1.0-Protokoll unterstützen. Diese Anforderung kann sich auf die Möglichkeit eines Clients auswirken, Websites zu besuchen, die SSL (Secure Sockets Layer) verwenden. Um weitere Informationen zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu lesen:

811834 SSL-Websites können nach der Aktivierung von FIPS-kompatibler Kryptografie nicht besucht werden. Wenn Sie diese Einstellung auf einem Server aktivieren, auf dem Terminaldienste verwendet werden, sind Die Clients gezwungen, die RDP-Clientversion 5.2 oder höher zum Herstellen einer Verbindung zu verwenden.Um weitere Informationen zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu lesen:

811833 Die Auswirkungen der Aktivierung der Sicherheitseinstellung "Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur" in Windows XP und späteren Windows

Der automatische Updatedienst oder Background Intelligent Transfer Service (BITS) ist deaktiviert

Eine der wichtigsten Säulen der Microsoft-Sicherheitsstrategie ist die Sicherstellen, dass die Systeme auf dem neuesten Stand gehalten werden. Eine Schlüsselkomponente bei dieser Strategie ist der Dienst für automatische Updates. Sowohl Windows Update- als auch Softwareupdatedienste verwenden den Dienst Automatische Updates. Der Dienst für automatische Updates basiert auf Background Intelligent Transfer Service (BITS). Wenn diese Dienste deaktiviert sind, können die Computer keine Updates mehr von Windows Update über automatische Updates, von Softwareupdatediensten (SOFTWARE) oder von einigen Installationen von Microsoft Systems Management Server (SMS) erhalten. Diese Dienste sollten nur für Systeme deaktiviert werden, die über ein effektives Updateverteilungssystem verfügen, das nicht auf BITS angewiesen ist.

Der NetLogon-Dienst ist deaktiviert.

Wenn Sie den NetLogon-Dienst deaktivieren, funktioniert eine Arbeitsstation nicht mehr zuverlässig als Domänenmitglied. Diese Einstellung kann für einige Computer geeignet sein, die nicht an Domänen teilnehmen. Sie sollte jedoch vor der Bereitstellung sorgfältig ausgewertet werden.

NoNameReleaseOnDemand

Diese Einstellung verhindert, dass ein Server seinen NetLINES-Namen aufbeent, wenn er mit einem anderen Computer im Netzwerk in Konflikt steht. Diese Einstellung ist eine gute Sicherheitsmaßnahme für Denial-of-Service-Angriffe auf Namenserver und andere sehr wichtige Serverrollen.Wenn Sie diese Einstellung auf einer Arbeitsstation aktivieren, verweigert die Arbeitsstation die Verweigerung, ihren NetLINES-Namen aufzingen, auch wenn der Name mit dem Namen eines wichtigeren Systems in Konflikt steht, z. B. mit einem Domänencontroller. In diesem Szenario können wichtige Domänenfunktionen deaktiviert werden. Microsoft unterstützt dringend branchenorientierte Sicherheitsleitfäden für Bereitstellungen in Bereichen mit hoher Sicherheit. Diese Richtlinien müssen jedoch in der Zielumgebung gründlich getestet werden. Wir empfehlen dringend, dass Systemadministratoren, die zusätzliche Sicherheitseinstellungen benötigen, die über die Standardeinstellungen hinausgehen, die von Microsoft ausgestellten Leitfäden als Ausgangspunkt für die Anforderungen Ihrer Organisation verwenden. Wenn Sie Support oder Fragen zu Leitfäden von Drittanbietern haben, wenden Sie sich an die Organisation, die die Anleitung ausgestellt hat.

Informationsquellen

Weitere Informationen zu den Sicherheitseinstellungen finden Sie unter Bedrohungen und Einstellungen Sicherheitseinstellungen in Windows Server 2003 und Windows XP. Zum Herunterladen dieses Leitfadens besuchen Sie die folgende Microsoft-Website:

http://go.microsoft.com/fwlink/?LinkId=15159Wenn Sie weitere Informationen zu den Auswirkungen einiger zusätzlicher wichtiger Sicherheitseinstellungen erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzeigen:

823659 Client-, Dienst- und Programmkompatibilitäten, die auftreten können, wenn Sie Sicherheitseinstellungen und Benutzerrechtezuweisungen ändern Möchten Sie weitere Informationen zu den Auswirkungen von FIPS-kompatiblen Algorithmen haben, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu lesen:

811833 Die Auswirkungen der Aktivierung der Sicherheitseinstellung "Systemkryptografie: Verwenden sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur" in Windows XP und neueren VersionenMicrosoft stellt Kontaktinformationen von Drittanbietern zur Verfügung, damit Sie technischen Support finden können. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.Informationen zum Hardwarehersteller finden Sie auf der folgenden Microsoft-Website:

http://support.microsoft.com/gp/vendors/en-us

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.