Υποστήριξη οδηγιών ρύθμισης παραμέτρων ασφαλείας


Περίληψη


Η Microsoft, το Κέντρο για την Ασφάλεια στο Internet (CIS), η Εθνική Υπηρεσία Ασφαλείας (NSA), η Υπηρεσία Συστημάτων Αμυντικών Πληροφοριών (DISA) και το Εθνικό Ίδρυμα Προτύπων και Τεχνολογίας (NIST) έχουν δημοσιεύσει "οδηγίες ρύθμισης παραμέτρων ασφαλείας" για τα Microsoft Windows.

Τα υψηλά επίπεδα ασφαλείας που καθορίζονται σε ορισμένους από αυτούς τους οδηγούς ενδέχεται να περιορίσουν σημαντικά τη λειτουργία κάποιου συστήματος. Επομένως, πρέπει να κάνετε προσεκτικούς ελέγχους, πριν να αναπτύξετε αυτές τις συστάσεις. Συνιστούμε να λάβετε επιπλέον προφυλάξεις, όταν κάνετε τα εξής:
 • Επεξεργασία λιστών ελέγχου πρόσβασης (ACL) για αρχεία και κλειδιά μητρώου
 • Ενεργοποίηση της επιλογής Πρόγραμμα-πελάτης δικτύου Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always))
 • Ενεργοποίηση της επιλογής Ασφάλεια δικτύου: Να μην αποθηκεύεται η τιμή κατακερματισμού της Διαχείρισης LAN Manager στην επόμενη αλλαγή κωδικού πρόσβασης (Network security: Do not store LAN Manager hash value on next password change)
 • Ενεργοποίηση της επιλογής Κρυπτογραφία συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing)
 • Απενεργοποίηση της υπηρεσίας Αυτόματων ενημερώσεων (Automatic Updates) ή της Υπηρεσίας έξυπνης μεταφοράς στο παρασκήνιο (Background Intelligent Transfer Service - BITS)
 • Απενεργοποίηση της υπηρεσίας "Σύνδεση δικτύου" (NetLogon)
 • Ενεργοποίηση της επιλογής NoNameReleaseOnDemand
Η Microsoft υποστηρίζει ιδιαίτερα τις προσπάθειες του κλάδου για την παροχή οδηγιών ασφαλείας που αφορούν την ανάπτυξη σε περιοχές υψηλής ασφαλείας. Ωστόσο, πρέπει να ελέγξετε προσεκτικά τις οδηγίες στο περιβάλλον προορισμού. Εάν χρειάζεστε πρόσθετες ρυθμίσεις ασφαλείας πέρα από τις προεπιλεγμένες ρυθμίσεις, συνιστάμε ιδιαιτέρως να ανατρέξετε στους οδηγούς που έχουν εκδοθεί από τη Microsoft. Οι οδηγοί αυτοί μπορούν να χρησιμεύσουν ως σημείο εκκίνησης για τις απαιτήσεις του οργανισμού σας. Για υποστήριξη ή ερωτήσεις σχετικά με οδηγίες άλλων, επικοινωνήστε με τον οργανισμό που εξέδωσε τις οδηγίες.

Εισαγωγή


Τα τελευταία χρόνια, πολλοί οργανισμοί, συμπεριλαμβανομένης της Microsoft, του Κέντρου για την Ασφάλεια στο Internet (CIS), της Εθνικής Υπηρεσίας Ασφαλείας (NSA), της Υπηρεσίας Συστημάτων Αμυντικών Πληροφοριών (DISA) και του Εθνικού Ιδρύματος Προτύπων και Τεχνολογίας (NIST), έχουν δημοσιεύσει "οδηγίες ρύθμισης παραμέτρων ασφαλείας" για τα Windows. Όπως συμβαίνει με κάθε οδηγία ασφαλείας, η πρόσθετη ασφάλεια που ζητείται συχνά έχει αρνητικά αποτελέσματα όσον αφορά τη χρήση.

Πολλοί από αυτούς τους οδηγούς, συμπεριλαμβανομένων εκείνων που προέρχονται από τη Microsoft, το CIS και το NIST, περιέχουν πολλαπλά επίπεδα ρυθμίσεων ασφαλείας. Οι οδηγοί αυτοί ενδέχεται να συμπεριλαμβάνουν επίπεδα που έχουν σχεδιαστεί για τα εξής:
 • Διαλειτουργικότητα με παλαιότερα λειτουργικά συστήματα
 • Εταιρικά περιβάλλοντα
 • Ενισχυμένη ασφάλεια που παρέχει περιορισμένες λειτουργίες

  Σημείωση Το επίπεδο αυτό συχνά αναφέρεται ως επίπεδο εξειδικευμένης λειτουργίας με περιορισμούς ασφαλείας (Specialized Security-Limited Functionality) ή υψηλό επίπεδο ασφαλείας (High Security).
Το υψηλό επίπεδο ασφαλείας, ή επίπεδο εξειδικευμένης λειτουργίας με περιορισμούς ασφαλείας, σχεδιάστηκε ειδικά για ιδιαιτέρως εχθρικά περιβάλλοντα όπου υπάρχει μεγάλος κίνδυνος εισβολής. Αυτό το επίπεδο προφυλάσσει πληροφορίες ύψιστης σημασίας, όπως πληροφορίες που ζητούνται από κάποια κρατικά συστήματα. Το υψηλό επίπεδο ασφαλείας των περισσοτέρων αυτών δημόσιων οδηγιών δεν είναι κατάλληλο για την πλειοψηφία των συστημάτων που εκτελούν τα Windows. Συνιστούμε να μην χρησιμοποιείτε το υψηλό επίπεδο ασφαλείας σε σταθμούς εργασίας γενικής χρήσης. Συνιστούμε να χρησιμοποιείτε το υψηλό επίπεδο ασφαλείας μόνο σε συστήματα όπου η παραβίαση θα προκαλούσε την απώλεια κάποιας ζωής, την απώλεια εξαιρετικά πολύτιμων πληροφοριών ή την απώλεια μεγάλων χρηματικών ποσών.

Αρκετές ομάδες συνεργάστηκαν με τη Microsoft για τη δημιουργία αυτών των οδηγών ασφαλείας. Σε πολλές περιπτώσεις, αυτοί οι οδηγοί εξετάζουν παρόμοιες απειλές. Ωστόσο, κάθε οδηγός διαφέρει λίγο λόγω νομικών απαιτήσεων, τοπικών πολιτικών και λειτουργικών απαιτήσεων. Για το λόγο αυτό, οι ρυθμίσεις ενδέχεται να διαφέρουν από το ένα σύνολο συστάσεων στο άλλο. Στην ενότητα "Οργανισμοί που παρέχουν οδηγίες ασφαλείας οι οποίες είναι διαθέσιμες στο κοινό" υπάρχει μια περίληψη κάθε οδηγού ασφαλείας.

Περισσότερες πληροφορίες


Οργανισμοί που παρέχουν οδηγίες ασφαλείας οι οποίες είναι διαθέσιμες στο κοινό

Microsoft Corporation

Η Microsoft παρέχει οδηγίες σχετικά με το πώς θα βοηθήσετε στην προστασία των λειτουργικών σας συστημάτων. Έχουμε αναπτύξει τα τρία ακόλουθα επίπεδα ρυθμίσεων ασφαλείας:
 • Enterprise Client (EC)
 • Αυτόνομο (SA)
 • Εξειδικευμένη λειτουργία με περιορισμούς ασφαλείας (SSLF)
Ελέγξαμε λεπτομερώς τις οδηγίες αυτές σε πολλά διαφορετικά σενάρια πελατών. Οι οδηγίες είναι κατάλληλες για οποιοδήποτε οργανισμό θέλει να βοηθήσει στην προστασία των υπολογιστών του που λειτουργούν με Windows.

Υποστηρίζουμε πλήρως τους οδηγούς μας, επειδή έχουμε διεξαγάγει εκτεταμένους ελέγχους στα εργαστήρια συμβατότητας εφαρμογών για τους οδηγούς αυτούς. Επισκεφθείτε τις ακόλουθες τοποθεσίας της Microsoft στο Web, για να κάνετε λήψη των οδηγών μας:Εάν αντιμετωπίσετε ζητήματα ή έχετε σχόλια μετά την υλοποίηση των οδηγών ασφαλείας της Microsoft, μπορείτε να στείλετε τα σχόλιά σας με μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση secwish@microsoft.com.

Tο Κέντρο για την Ασφάλεια στο Internet

Το CIS έχει αναπτύξει σημεία αναφοράς που είναι σχεδιασμένα να παρέχουν πληροφορίες οι οποίες βοηθούν τους οργανισμούς να λαμβάνουν ενημερωμένες αποφάσεις σχετικά με ορισμένες διαθέσιμες επιλογές ασφαλείας. Το CIS παρέχει τρία επίπεδα σημείων αναφοράς ασφαλείας:
 • Παλαιού τύπου
 • Εταιρικό
 • Υψηλής ασφαλείας
Εάν αντιμετωπίσετε ζητήματα ή έχετε σχόλια μετά την υλοποίηση των σημείων αναφοράς του CIS, επικοινωνήστε με το CIS στέλνοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση win2k-feedback@cisecurity.org.

Σημείωση Η καθοδήγηση του CIS έχει αλλάξει από την πρώτη φορά που δημοσιεύτηκε αυτό το άρθρο (3 Νοεμβρίου 2004). Η τρέχουσα καθοδήγηση του CIS μοιάζει με την καθοδήγηση που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με την καθοδήγηση που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Το Εθνικό Ίδρυμα Προτύπων και Τεχνολογίας

Το Εθνικό Ίδρυμα Προτύπων και Τεχνολογίας (NIST) είναι υπεύθυνο για τη δημιουργία οδηγιών ασφαλείας για την ομοσπονδιακή κυβέρνηση των Η.Π.Α. Το NIST έχει δημιουργήσει τέσσερα επίπεδα οδηγιών ασφαλείας, που χρησιμοποιούνται από ομοσπονδιακές υπηρεσίες των Η.Π.Α., ιδιωτικούς οργανισμούς και δημόσιους οργανισμούς:
 • SoHo
 • Παλαιού τύπου
 • Εταιρικό
 • Εξειδικευμένη λειτουργία με περιορισμούς ασφαλείας
Εάν αντιμετωπίσετε ζητήματα ή έχετε σχόλια μετά την υλοποίηση των προτύπων ασφάλειας του NIST, επικοινωνήστε με το NIST στέλνοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση itsec@nist.gov.

Σημείωση Η καθοδήγηση του NIST έχει αλλάξει από την πρώτη φορά που δημοσιεύτηκε αυτό το άρθρο (3 Νοεμβρίου 2004). Η τρέχουσα καθοδήγηση του NIST μοιάζει με την καθοδήγηση που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με την καθοδήγηση που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Η Υπηρεσία Συστημάτων Αμυντικών Πληροφοριών

Η Υπηρεσία Συστημάτων Αμυντικών Πληροφοριών (DISA) δημιουργεί οδηγίες ειδικά για χρήση στο Υπουργείο Άμυνας. Οι χρήστες στο Υπουργείο Άμυνας των Η.Π.Α. που αντιμετωπίζουν ζητήματα ή έχουν σχόλια μετά την υλοποίηση των οδηγιών ρύθμιση παραμέτρων του DISA, μπορούν να στείλουν τα σχόλιά τους με μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση fso_spt@ritchie.disa.mil.

Σημείωση Η καθοδήγηση της DISA έχει αλλάξει από την πρώτη φορά που δημοσιεύτηκε αυτό το άρθρο (3 Νοεμβρίου 2004). Η τρέχουσα καθοδήγηση της DISA μοιάζει ή είναι ίδια με την καθοδήγηση που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με την καθοδήγηση που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Η Εθνική Υπηρεσία Ασφαλείας (NSA)

Η NSA χει δημιουργήσει οδηγίες για να βοηθήσει στην προστασία των υπολογιστών υψηλού κινδύνου στο Υπουργείο Άμυνας των Η.Π.Α. Η NSA έχει αναπτύξει οδηγίες ενός μόνο επιπέδου, που σε γενικές γραμμές αντιστοιχεί στο υψηλό επίπεδο ασφαλείας των άλλων οργανισμών.

Εάν αντιμετωπίσετε ζητήματα ή έχετε σχόλια μετά την υλοποίηση των οδηγών ασφαλείας του NSA, μπορείτε να στείλετε τα σχόλιά σας με μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση XPGuides@nsa.gov. ια την παροχή σχολίων σχετικά με τους οδηγούς των Windows 2000, στείλτε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση w2kguides@nsa.gov.

Σημείωση Η καθοδήγηση της NSA έχει αλλάξει από την πρώτη φορά που δημοσιεύτηκε αυτό το άρθρο (3 Νοεμβρίου 2004). Η τρέχουσα καθοδήγηση της NSA μοιάζει ή είναι ίδια με την καθοδήγηση που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με την καθοδήγηση που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Ζητήματα σχετικά με τις οδηγίες ασφαλείας

Όπως αναφέρθηκε παραπάνω σε αυτό το άρθρο, τα υψηλά επίπεδα ασφαλείας που περιγράφονται σε ορισμένους από τους οδηγούς αυτούς έχουν σχεδιαστεί με σκοπό να περιορίζουν σε μεγάλο βαθμό τις λειτουργίες κάποιου συστήματος. Λόγω αυτού του περιορισμού, πρέπει να ελέγξετε προσεκτικά το σύστημα, πριν να αναπτύξετε τις συστάσεις αυτές.

Σημείωση Δεν υπάρχουν αναφορές ότι οι οδηγίες ασφαλείας που παρέχονται για το επίπεδο παλαιού τύπου, το επίπεδο SoHo ή το εταιρικό επίπεδο επηρεάζουν σοβαρά τη λειτουργία του συστήματος. Αυτό το άρθρο της Γνωσιακής Βάσης (Knowledge Base) εστιάζεται κυρίως στις οδηγίες που σχετίζονται με τα υψηλότερα επίπεδα ασφαλείας.

Υποστηρίζουμε ιδιαίτερα τις προσπάθειες του κλάδου για την παροχή οδηγιών ασφαλείας που αφορούν την ανάπτυξη σε περιοχές υψηλής ασφαλείας. Συνεχίζουμε να συνεργαζόμαστε με ομάδες προτύπων ασφαλείας, με σκοπό να αναπτύξουμε χρήσιμες οδηγίες ενίσχυσης, οι οποίες έχουν ελεγχθεί πλήρως. Οι οδηγίες ασφαλείας από άλλους εκδίδονται πάντα με σοβαρές προειδοποιήσεις για πλήρη έλεγχο των οδηγιών σε περιβάλλοντα προορισμού υψηλής ασφαλείας. Ωστόσο, οι προειδοποιήσεις αυτές δεν ακολουθούνται πάντα. Βεβαιωθείτε ότι ελέγχετε λεπτομερώς όλες τις ρυθμίσεις παραμέτρων ασφαλείας στο περιβάλλον προορισμού σας. Οι ρυθμίσεις ασφαλείας που διαφέρουν από εκείνες που συνιστούμε ενδέχεται να ακυρώσουν τον έλεγχο συμβατότητας της εφαρμογής που εκτελείται ως μέρος της διαδικασίας ελέγχου του λειτουργικού συστήματος. Επιπλέον, εμείς και οι άλλοι κατασκευαστές αποθαρρύνουμε ιδιαίτερα την εφαρμογή πρόχειρων οδηγιών σε πραγματικό περιβάλλον παραγωγής, αντί για περιβάλλον ελέγχου.

Στα υψηλά επίπεδα αυτών των οδηγών ασφαλείας περιλαμβάνονται αρκετές ρυθμίσεις τις οποίες θα πρέπει να αξιολογήσετε προσεκτικά, πριν να τις υλοποιήσετε. Παρόλο που οι ρυθμίσεις αυτές ενδέχεται να παρέχουν επιπλέον οφέλη ασφαλείας, οι ρυθμίσεις ενδέχεται να έχουν αρνητικά αποτελέσματα όσον αφορά τη χρήση του συστήματος.

Τροποποιήσεις της λίστας ελέγχου πρόσβασης στο μητρώο και το σύστημα αρχείων

Στα συστήματα Windows Vista, Microsoft Windows XP και Microsoft Windows Server 2003 τα δικαιώματα συστήματος έχουν περιοριστεί σημαντικά. Για αυτόν το λόγο, δεν θα είναι απαραίτητες εκτεταμένες αλλαγές σε προεπιλεγμένα δικαιώματα.


Οι πρόσθετες αλλαγές στην ACL ενδέχεται να ακυρώσουν όλους ή τους περισσότερους ελέγχους συμβατότητας εφαρμογών που εκτελούνται από τη Microsoft. Συχνά, αλλαγές όπως αυτές δεν έχουν υποβληθεί στον σχολαστικό έλεγχο που διεξάγει η Microsoft για άλλες ρυθμίσεις. Οι περιπτώσεις υποστήριξης και η πρακτική εμπειρία έδειξαν ότι οι τροποποιήσεις της ACL αλλάζουν τη βασική συμπεριφορά του λειτουργικού συστήματος, συχνά με μη αναμενόμενους τρόπους. Οι αλλαγές αυτές επηρεάζουν τη συμβατότητα και τη σταθερότητα των εφαρμογών και μειώνουν τη λειτουργικότητά τους, τόσο από άποψη επιδόσεων όσο και από άποψη δυνατοτήτων.

Λόγω αυτών των αλλαγών, δεν συνιστούμε να τροποποιήσετε τις ACL συστήματος αρχείων σε αρχεία που περιλαμβάνονται στο λειτουργικό σύστημα σε συστήματα παραγωγής. Συνιστούμε να αξιολογήσετε τυχόν πρόσθετες αλλαγές στην ACL με βάση μια γνωστή απειλή, για να κατανοήσετε τα πιθανά οφέλη που ενδέχεται να προσφέρουν οι αλλαγές σε μια συγκεκριμένη ρύθμιση παραμέτρων. Για τους λόγους αυτούς, οι οδηγοί μας πραγματοποιούν ελάχιστες αλλαγές στην ACL και μόνο στα Windows 2000. Για τα Windows 2000, απαιτούνται πολλές δευτερεύουσες. Οι αλλαγές αυτές περιγράφονται στον Οδηγό ενίσχυσης ασφαλείας των Windows 2000.

Δεν είναι δυνατόν να καταργηθούν οι εκτεταμένες αλλαγές σε δικαιώματα που εφαρμόζονται σε όλο το μητρώο και το σύστημα αρχείων. Ενδέχεται να επηρεαστούν οι νέοι φάκελοι, όπως οι φάκελοι προφίλ των χρηστών που δεν υπήρχαν κατά την αρχική εγκατάσταση του λειτουργικού συστήματος. Επομένως, εάν καταργήσετε μια ρύθμιση Πολιτικής ομάδας (Group Policy) που εκτελεί αλλαγές στην ACL ή εάν εφαρμόσετε τις προεπιλεγμένες ρυθμίσεις του συστήματος, δεν θα έχετε τη δυνατότητα να επιστρέψετε στις αρχικές ACL.

Οι αλλαγές της ACL στο φάκελο %SystemDrive% μπορεί να προκαλέσουν τα ακόλουθα σενάρια:
 • Ο Κάδος ανακύκλωσης (Recycle Bin) δεν λειτουργεί πλέον όπως έχει σχεδιαστεί και δεν είναι δυνατή η ανάκτηση των αρχείων.
 • Μια μείωση του επιπέδου ασφαλείας επιτρέπει σε κάποιον που δεν είναι διαχειριστής να προβάλει τα περιεχόμενα του Κάδου ανακύκλωσης (Recycle Bin) του διαχειριστή.
 • Τα προφίλ χρηστών δεν λειτουργούν με τον αναμενόμενο τρόπο.
 • Μια μείωση του επιπέδου ασφαλείας παρέχει στους αλληλεπιδραστικούς χρήστες δικαιώματα ανάγνωσης μερικών ή όλων των προφίλ χρηστών του συστήματος.
 • Ζητήματα επιδόσεων κατά τη φόρτωση πολλών τροποποιήσεων ACL σε αντικείμενο πολιτικής ομάδας που περιλαμβάνει μεγάλους χρόνους σύνδεσης ή επανειλημμένες επανεκκινήσεις του συστήματος προορισμού.
 • Ζητήματα επιδόσεων, συμπεριλαμβανομένων μειώσεων στην ταχύτητα του συστήματος, κάθε 16 ώρες περίπου, καθώς εφαρμόζονται ξανά οι ρυθμίσεις Πολιτικής ομάδας (Group Policy).
 • Ζητήματα συμβατότητας εφαρμογών ή διακοπές λειτουργίας των εφαρμογών.
Για να σας βοηθήσει να αποφύγετε τα χειρότερα αποτελέσματα τέτοιων δικαιωμάτων αρχείου και μητρώου, η Microsoft θα προσφέρει εμπορικά λογικές προσπάθειες σύμφωνα με το συμβόλαιο υποστήριξης που έχετε. Ωστόσο, αυτήν τη στιγμή, δεν μπορείτε να αναιρέσετε τις αλλαγές αυτές. Μπορούμε να εγγυηθούμε μόνο ότι μπορείτε να επιστρέψετε στις συνιστώμενες αρχικές ρυθμίσεις, εάν κάνετε διαμόρφωση του σκληρού δίσκου και εγκαταστήσετε ξανά το λειτουργικό σύστημα.

Για παράδειγμα, οι τροποποιήσεις στις ACL μητρώου επηρεάζουν μεγάλα τμήματα των ομάδων μητρώου και μπορεί να οδηγήσουν σε μη αναμενόμενη λειτουργία των συστημάτων. Η τροποποίηση των ACL σε μεμονωμένα κλειδιά μητρώου δημιουργεί λιγότερα ζητήματα σε πολλά συστήματα. Ωστόσο, συνιστούμε να εξετάσετε προσεκτικά και να ελέγξετε αυτές τις αλλαγές, πριν να τις υλοποιήσετε. Και σε αυτήν την περίπτωση, μπορούμε να εγγυηθούμε μόνο ότι μπορείτε να επιστρέψετε στις συνιστώμενες αρχικές ρυθμίσεις, εάν κάνετε νέα διαμόρφωση και εγκαταστήσετε ξανά το λειτουργικό σύστημα.

Πρόγραμμα-πελάτης δικτύου Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always))

Όταν ενεργοποιείτε αυτήν τη ρύθμιση, τα προγράμματα-πελάτες πρέπει να υπογράφουν την κυκλοφορία μπλοκ μηνυμάτων διακομιστή (Server Message Block - SMB) κατά την επικοινωνία με διακομιστές που δεν απαιτούν υπογραφή SMB. Με τον τρόπο αυτό τα προγράμματα-πελάτες είναι λιγότερο ευάλωτα σε εισβολές κατά την περίοδο λειτουργίας. Παρέχει σημαντικά πλεονεκτήματα, αλλά, εάν δεν κάνετε μια παρόμοια αλλαγή στο διακομιστή για να ενεργοποιηθεί η ρύθμιση Διακομιστής δικτύου Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network server: Digitally sign communications (always)) ή Διακομιστής δικτύου Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (εάν συμφωνεί το πρόγραμμα-πελάτης) (Microsoft network server: Digitally sign communications (if client agrees)), το πρόγραμμα-πελάτης δεν θα μπορεί να επικοινωνήσει με επιτυχία με το διακομιστή.

Ασφάλεια δικτύου: Να μην αποθηκεύεται η τιμή κατακερματισμού της Διαχείρισης LAN Manager στην επόμενη αλλαγή κωδικού πρόσβασης (Network security: Do not store LAN Manager hash value on next password change)

Όταν ενεργοποιείτε αυτήν τη ρύθμιση, η τιμή κατακερματισμού του LAN Manager (LM) για νέο κωδικό πρόσβασης δεν θα αποθηκευτεί, όταν αλλάξει ο κωδικός πρόσβασης. Ο κατακερματισμός του LM είναι σχετικά ασθενής και ευάλωτος σε εισβολές, σε σύγκριση με τον κρυπτογραφικά ισχυρότερο κατακερματισμό των Microsoft Windows NT. Ενώ η ρύθμιση αυτή παρέχει εκτεταμένη πρόσθετη ασφάλεια στο σύστημα, καθώς το προστατεύει από πολλά κοινά βοηθητικά προγράμματα παραβίασης κωδικών πρόσβασης, μπορεί να αποτρέψει την εκκίνηση ή τη σωστή λειτουργία ορισμένων εφαρμογών.

Κρυπτογραφία συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing)

Όταν ενεργοποιείτε αυτήν τη ρύθμιση, οι υπηρεσίες Internet Information Services (IIS) και ο Microsoft Internet Explorer χρησιμοποιούν μόνο το πρωτόκολλο Transport Layer Security (TLS) 1.0. Εάν η ρύθμιση αυτή ενεργοποιηθεί σε διακομιστή που εκτελεί IIS, μπορούν να συνδεθούν μόνο προγράμματα περιήγησης στο Web που υποστηρίζουν το TLS 1.0. Εάν η ρύθμιση αυτή ενεργοποιηθεί σε πρόγραμμα-πελάτη του Web, το πρόγραμμα-πελάτης μπορεί να συνδεθεί μόνο με διακομιστές που υποστηρίζουν το πρωτόκολλο TLS 1.0. Η απαίτηση αυτή μπορεί να επηρεάσει την ικανότητα του προγράμματος-πελάτη να επισκέπτεται τοποθεσίες στο Web που χρησιμοποιούν το Secure Sockets Layer (SSL).Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

811834 Δεν είναι δυνατή η επίσκεψη σε τοποθεσίες SSL μετά την ενεργοποίηση της κρυπτογράφησης που είναι συμβατή με FIPS (US)

Επιπλέον, όταν ενεργοποιείτε αυτήν τη ρύθμιση σε διακομιστή που χρησιμοποιεί Terminal Services, τα προγράμματα-πελάτες αναγκάζονται να χρησιμοποιούν το πρόγραμμα-πελάτη RDP 5.2 ή νεότερης έκδοσης για να συνδεθούν.

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

811833 Τα αποτελέσματα από την ενεργοποίηση της ρύθμισης ασφαλείας "Κρυπτογραφία συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή" (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing) στα Windows XP και νεότερες εκδόσεις των Windows (US)

Η υπηρεσία Αυτόματων ενημερώσεων (Automatic Updates) ή η Υπηρεσία έξυπνης μεταφοράς στο παρασκήνιο (Background Intelligent Transfer Service - BITS) είναι απενεργοποιημένη

Ένας από τους ακρογωνιαίους λίθους της στρατηγικής ασφαλείας της Microsoft είναι να εξασφαλίζει ότι τα συστήματα διατηρούνται ενημερωμένα με ενημερωμένες εκδόσεις. Βασικό στοιχείο αυτής της στρατηγικής είναι η υπηρεσία Αυτόματων ενημερώσεων (Automatic Updates). Οι υπηρεσίες Windows Update και Software Update χρησιμοποιούν την υπηρεσία Αυτόματων ενημερώσεων (Automatic Updates). Η υπηρεσία Αυτόματων ενημερώσεων (Automatic Updates) βασίζεται στην Υπηρεσία έξυπνης μεταφοράς στο παρασκήνιο (Background Intelligent Transfer Service - BITS). Εάν οι υπηρεσίες αυτές απενεργοποιηθούν, οι υπολογιστές δεν θα μπορούν πλέον να λαμβάνουν ενημερωμένες εκδόσεις από την υπηρεσία Windows Update μέσω της υπηρεσίας Αυτόματων ενημερώσεων (Automatic Updates), από τις υπηρεσίες Software Update Services (SUS) ή από ορισμένες εγκαταστάσεις του Microsoft Systems Management Server (SMS). Οι υπηρεσίες αυτές πρέπει να απενεργοποιούνται μόνο σε συστήματα που έχουν αποτελεσματικό σύστημα διανομής ενημερωμένων εκδόσεων το οποίο δεν βασίζεται στο BITS.

Η υπηρεσία "Σύνδεση δικτύου" (NetLogon) είναι απενεργοποιημένη

Εάν απενεργοποιήσετε την υπηρεσία "Σύνδεση δικτύου" (Net Logon), ο σταθμός εργασίας δεν θα λειτουργεί πλέον αξιόπιστα ως μέλος του τομέα. Η ρύθμιση αυτή μπορεί να είναι κατάλληλη για ορισμένους υπολογιστές που δεν συμμετέχουν σε τομείς, αλλά πρέπει να αξιολογηθεί με προσοχή πριν από την ανάπτυξη.

NoNameReleaseOnDemand

Η ρύθμιση αυτή αποτρέπει κάποιο διακομιστή να εγκαταλείψει το όνομα NetBIOS του, όταν έρχεται σε διένεξη με άλλο υπολογιστή του δικτύου. Η ρύθμιση αυτή αποτελεί καλό προληπτικό μέτρο για εισβολές τύπου άρνησης εξυπηρέτησης εναντίον διακομιστών ονομάτων και άλλων σημαντικών ρόλων διακομιστή.

Όταν ενεργοποιείτε αυτήν τη ρύθμιση σε σταθμό εργασίας, ο σταθμός εργασίας αρνείται να εγκαταλείψει το όνομα NetBIOS του, ακόμα και όταν το όνομα έρχεται σε διένεξη με το όνομα κάποιου πιο σημαντικού συστήματος, όπως ένας ελεγκτής τομέα. Αυτό το σενάριο μπορεί να απενεργοποιήσει σημαντικές λειτουργίες του τομέα. Η Microsoft υποστηρίζει ιδιαίτερα τις προσπάθειες του κλάδου για την παροχή οδηγιών ασφαλείας όσον αφορά την ανάπτυξη σε περιοχές υψηλής ασφαλείας. Ωστόσο, αυτές οι οδηγίες πρέπει να ελέγχονται λεπτομερώς στο περιβάλλον προορισμού. Συνιστούμε ιδιαίτερα στους διαχειριστές συστημάτων που χρειάζονται επιπρόσθετες ρυθμίσεις ασφαλείας, πέρα από τις προεπιλεγμένες ρυθμίσεις, να χρησιμοποιούν τους οδηγούς που εκδίδει η Microsoft ως σημείο έναρξης για τις απαιτήσεις των οργανισμών τους. Για υποστήριξη ή ερωτήσεις σχετικά με οδηγίες άλλων, επικοινωνήστε με τον οργανισμό που εξέδωσε τις οδηγίες.

Αναφορές


Για περισσότερες σχετικά με τις ρυθμίσεις ασφαλείας, ανατρέξτε στον οδηγό Απειλές και αντίμετρα: Ρυθμίσεις ασφαλείας στον Windows Server 2003 και τα Windows XP (Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP). Για να κάνετε λήψη αυτού του οδηγού, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web: Για περισσότερες πληροφορίες σχετικά με τα αποτελέσματα ορισμένων πρόσθετων σημαντικών ρυθμίσεων ασφαλείας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

823659 Ζητήματα ασυμβατότητας προγραμμάτων-πελατών, υπηρεσιών και προγραμμάτων που ενδέχεται να προκύψουν όταν τροποποιείτε ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη

Για περισσότερες πληροφορίες σχετικά με τα αποτελέσματα της απαίτησης αλγορίθμων που είναι συμβατοί με FIPS, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

811833 Τα αποτελέσματα από την ενεργοποίηση της ρύθμισης ασφαλείας "Κρυπτογραφία συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή" (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing) στα Windows XP και νεότερες εκδόσεις (US)
Η Microsoft παρέχει πληροφορίες επικοινωνίας με άλλους κατασκευαστές, για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια αυτών των πληροφοριών επικοινωνίας με άλλους κατασκευαστές.
Για πληροφορίες σχετικά με τον τρόπο επικοινωνίας με τρίτους προμηθευτές, κάντε κλικ στον κατάλληλο αριθμό άρθρου από την ακόλουθη λίστα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
65416 Πληροφορίες επικοινωνίας με προμηθευτές υλικού και λογισμικού, A-K

60781 Πληροφορίες επικοινωνίας με προμηθευτές υλικού και λογισμικού, L-P (US)

60782 Πληροφορίες επικοινωνίας με προμηθευτές υλικού και λογισμικού, Q-Z (US)