Kokkuvõte
Microsoft, Interneti-turbe keskus (SRÜ), riiklik julgeolekuasutus (NSA), riigikaitse infosüsteemide Agentuur (DISA) ning riiklik standardite ja tehnoloogia Instituut (NIST) on Microsoft Windowsi jaoks avaldanud "turvakonfiguratsiooni juhised".
Mõnes juhendis määratud kõrge ohutustase võib süsteemi funktsionaalsust oluliselt piirata. Seetõttu tuleks enne soovituste juurutamist teha olulisi teste. Soovitame teil võtta täiendavaid ettevaatusabinõusid, kui teete järgmist.
-
Failidele ja registrivõtmetele juurdepääsu reguleerimise loendite (ACL-ide) redigeerimine
-
Luba Microsoft network client: digitaalselt allkirjastada side (alati)
-
Luba võrgu turvalisus: Ärge hoidke LAN Manageri Hash väärtust järgmisel parooli muutmisel
-
Süsteemi krüptograafia lubamine: krüptimiseks, räsimiseks ja allkirjastamiseks FIPS-i nõuetele vastavate algoritmide kasutamine
-
Keela automaatse värskendamise teenus või tausta intelligentne edastus teenus (BITS)
-
Teenuse Netlogon keelamine
-
NoNameReleaseOnDemand lubamine
Microsoft toetab tugevalt tööstuse pingutusi, et pakkuda turvalisuse juhiseid juurutuste juurutamiseks kõrge turvalisusega aladel. Peate siiski hoolikalt katsetama TARGETi keskkonnas olevaid juhiseid. Kui vajate täiendavaid turvasätteid Lisaks vaikesätetele, soovitame teil vaadata ka Microsoft-välja antud juhiseid. Need juhikud võivad olla ettevõtte vajaduste lähtepunktiks. Abi saamiseks või muude tootjate juhiste kohta küsimuste esitamiseks võtke ühendust juhendamist väljastanud asutusega.
Tutvustus
Viimastel aastatel on mitu organisatsiooni (sh Microsoft, Interneti-turbe keskus (SRÜ), riiklik julgeolekuasutus (NSA), riigikaitse infosüsteemide Agentuur (DISA) ning riiklik standardite ja tehnoloogia Instituut (NIST) avaldanud Windowsi jaoks "turvakonfiguratsiooni juhised". Nagu mis tahes turvalisuse juhised, on täiendav tagatis, mis on sageli vajalik, kahjulikku mõju kasutatavusele.
Mitmed neist juhikutest (sh Microsoftist, SRÜ-st ja NIST pärinevad juhised) sisaldavad mitut turvasätete taset. Need juhised võivad hõlmata järgmisi tasemeid.
-
Koostalitlusvõime vanema operatsioonisüsteemiga
-
Enterprise keskkonnad
-
Täiustatud Turve, mis pakub piiratud funktsionaalsuse
Märkus seda taset tuntakse sageli kui spetsiaalset turbe-piiratud funktsionaalsuse taset või kõrge turvataseme taset.
Kõrge turvalisus või spetsialiseeritud turvalisus – piiratud funktsionaalsus, tase on mõeldud spetsiaalselt väga vaenulike keskkondade jaoks, mis on olulisel määral rünnakute oht. See tase valvab teavet suurima võimaliku väärtuse kohta (nt teave, mida on vaja mõne omavalitsuse süsteemi jaoks). Enamike avalike juhiste suur turvatase ei sobi enamiku Windowsi kasutavates süsteemides. Soovitame, et te ei kasutaks üldisel otstarbel tööjaamades suurt turvataset. Soovitame kasutada kõrget turvataset ainult sellistes süsteemides, kus kompromiss põhjustaks elu kaotsimineku, väga väärtusliku teabe kadumise või palju raha.
Mitmed rühmad, kes on Microsoftiga töötanud, on mõeldud nende turvavärskenduste tootmiseks. Paljudel juhtudel käsitlevad need juhendid kõiki sarnaseid ohte. Kuid iga juhend erineb vähesel määral juriidilistest nõuetest, kohalikust poliitikast ja funktsionaalsetest nõuetest. Selle tõttu võivad sätted erineda järgmisest soovituste kogumist. Jaotis "organisatsioonid, mis toodavad avalikult kasutatavaid turvameetmeid" sisaldab kokkuvõtet iga turbeteabe kohta.
Lisateave
Organisatsioonid, mis toodavad avalikult kasutatavaid turvameetmeid
Microsoft Corporation
Microsoft pakub juhiseid selle kohta, kuidas kaitsta oma operatsioonisüsteeme. Oleme välja töötanud järgmised kolm turvasätete taset.
-
Enterprise Client (EC)
-
Stand-Alone (SA)
-
Spetsialiseeritud turvalisus – piiratud funktsionaalsus (SSLF)
Oleme põhjalikult katsetanud seda juhiseid paljude klientide stsenaariumite kasutamiseks. Juhised on sobilikud iga organisatsiooni jaoks, kes soovib Windowsi-põhiseid arvuteid kaitsta.
Toetame meie giide Tänu ulatuslikule testimisele, mida oleme teinud meie rakenduste ühilduvuse laborites nende juhiste abil. Meie juhikute allalaadimiseks külastage järgmisi Microsofti veebisaite.
-
Windows Vista turvalisuse juhend:
-
Windows XP turvalisuse alused:
-
Windows Server 2003 turvalisuse alused:
-
Windows 2000 turbe kõvenemise juhend:
Kui teil ilmneb probleeme või kui teil on pärast Microsoft Security juhikute rakendamist kommentaare, saate anda tagasisidet, saates meilisõnumi secwish@microsoft.com.
Windowsi operatsioonisüsteemi, Internet Exploreri ja Office ' i tootlikkuse komplekti jaoks mõeldud turvakonfiguratsiooni juhised leiate Microsofti turbe nõuetele vastavuse Managerist: http://technet.microsoft.com/en-us/Library/cc677002.aspx.
Interneti-turbe keskus
SRÜ on välja töötanud kriteeriumid teabe andmiseks, mis aitab ettevõtetel teha teadlikke otsuseid teatud saadaolevate turvalisuse valikute kohta. SRÜ on esitanud kolm turvalisuse võrdlusaluse taset.
-
Pärand
-
Enterprise
-
Kõrge turvalisus
Kui teil tekib pärast TISI võrdlustesti sätete rakendamist probleeme või kui teil on kommentaare, võtke ühendust TISIga, saates meilisõnumi Win2k-Feedback@cisecurity.org.
Pange tähele, et TISI juhised on pärast selle artikli avaldamist muutunud (3. november 2004). TISI praegused juhised sarnanevad Microsofti pakutavate juhistega. Microsofti pakutavate juhiste kohta leiate lisateavet käesoleva artikli jaotisest "Microsoft Corporation".
Riiklik standardite ja tehnoloogia Instituut
NIST vastutab Ameerika Ühendriikide Liitvabariigi valitsuse turvalisuse juhiste koostamise eest. NIST on loonud neli turbepoliitika taset, mida kasutavad Ameerika Ühendriikide föderaalsed asutused, eraõiguslikud organisatsioonid ja avalikud organisatsioonid.
-
SoHo
-
Pärand
-
Enterprise
-
Spetsialiseeritud turvalisus – piiratud funktsionaalsus
Kui teil tekib pärast NIST rakendamist probleeme või kui teil on kommentaare, võtke ühendust NIST, kui saadate itsec@nist.govmeilisõnumi.
Märkus NIST ' i juhised on pärast selle artikli avaldamist muutunud (3. november 2004). NIST ' i praegused juhised sarnanevad Microsofti pakutavate juhistega. Microsofti pakutavate juhiste kohta leiate lisateavet käesoleva artikli jaotisest "Microsoft Corporation".
Kaitseministeeriumi infosüsteemide agentuur
DISA loob juhised spetsiaalselt kasutamiseks Ameerika Ühendriikide kaitseministeeriumi (DOD). Ameerika Ühendriikide DOD kasutajad, kellel on probleeme või on kommentaare pärast seda, kui nad rakendavad DISA, võivad anda tagasisidet, kui saadate meilisõnumi fso_spt@ritchie.disa.mil.
Märkus DISA ' i juhised on pärast selle artikli avaldamist muutunud (3. november 2004). DISA ' i praegused juhised on sarnased või identsed Microsofti pakutavate juhistega. Microsofti pakutavate juhiste kohta leiate lisateavet käesoleva artikli jaotisest "Microsoft Corporation".
Riikliku julgeoleku Agentuur (NSA)
NSA on koostanud juhised, mis aitavad kaitsta kõrge riskiastmega arvuteid Ameerika Ühendriikide kaitseministeeriumi (DOD). NSA on välja töötanud ühtsed juhised, mis vastavad ligikaudu kõrge turvataseme suurusele, mille on tootnud teised organisatsioonid.
Kui teil tekib probleeme või kui teil on kommentaare pärast Windows XP NSA turvavärskenduste rakendamist, saate tagasisidet anda, kui saadate XPGuides@nsa.govmeilisõnumi. Windows 2000 juhikute kohta tagasiside andmiseks saatke w2kguides@nsa.govmeilisõnum.
Märkus NSA juhiseid on pärast selle artikli avaldamist muutunud (3. november 2004). NSA praegused juhised on sarnased või identsed Microsofti pakutavate juhistega. Microsofti pakutavate juhiste kohta leiate lisateavet käesoleva artikli jaotisest "Microsoft Corporation".
Turbega seotud juhised
Nagu käesolevas artiklis varem mainitud, on mõnedes neis juhikutes kirjeldatud kõrged turbe tasemed mõeldud süsteemi funktsionaalsuse oluliseks piiramiseks. Selle piirangu tõttu peaksite süsteemi enne nende soovituste juurutamist põhjalikult katsetama.
Pange tähele, et turbega seotud juhiseid, mis on ette nähtud nii SoHo, pärandi kui ka ettevõtte tasemete jaoks, ei mõjuta oluliselt süsteemi funktsionaalsust. Selles teabebaasi artiklis keskendutakse peamiselt kõrgeima turvatasemega seotud juhistele.
Toetame tööstuse pingutusi, et anda turvalisuse juhiseid suurte turvalisuse alastes juurutustes. Jätkame tööd turvalisuse standardite rühmadega, et töötada välja kasulikke juhiseid, mis on täielikult testitud. Kolmanda osapoole turvalisuse juhised väljastatakse alati tugevate hoiatustega, et täielikult testida juhiseid sihtrühmades kõrge turvalisusega keskkonnas. Kuid need hoiatused ei ole alati kuulda. Veenduge, et kõik teie sihtrühma turbe konfiguratsioonid oleksid põhjalikult testinud. Turvalisuse sätted, mis erinevad meie soovitatavatest sätetest, võivad kehtetuks tunnistada rakenduse ühilduvuse testimise, mida teostatakse operatsioonisüsteemi testimise protsessi osana. Lisaks sellele ei takista meie ja kolmandad osapooled, et nad rakendavad katse keskkonna asemel Live ' i tootmise keskkonnas olevate suuniste eelnõud.
Nende turbesätete kõrge tase sisaldab mitmeid sätteid, mida tuleks enne nende rakendamist hoolikalt hinnata. Kuigi need sätted võivad anda täiendavaid turvameetmeid, võivad sätted mõjutada ebasoodsat mõju süsteemi kasutatavusele.
Failisüsteemi ja registri juurdepääsu juhtimise loendi muudatused
Windows XP ja uuemates versioonides on kogu süsteemis oluliselt karmistatud. Seetõttu ei ole vaja teha ulatuslikuid muudatusi.
Täiendavate mittekohustuslike juurdepääsu reguleerimise loendi (DACL) muudatused võivad kehtetuks tunnistada kõik Microsoftis teostatavad rakenduse ühilduvuse testimised. Sageli ei ole selliseid muudatusi tehtud, kuna Microsoft on teinud muid sätteid. Tugiteenuste teenindusjuhtumid ja väljakogemused on näidanud, et DACL muudab operatsioonisüsteemi põhikäitumist, sageli tahtmatul viisil. Need muudatused mõjutavad rakenduste ühilduvust ja stabiilsust ning vähendavad funktsionaalsust nii jõudluse kui ka võimekuse osas.
Nende muudatuste tõttu ei soovita me teil muuta failisüsteemi DACLs faile, mis on opsüsteemiga kaasas. Soovitame teil hinnata mis tahes täiendavaid ACL-i muutusi teadaoleva ohu korral, et mõista võimalikke eeliseid, mida muudatused võivad teatud konfiguratsioonile laenata. Nende põhjuste tõttu teevad meie giidid ainult väga minimaalsed DACL muudatused ja ainult Windows 2000. Windows 2000 puhul on vaja teha mitu väiksemat muudatust. Neid muudatusi kirjeldatakse Windows 2000 turbe karastamise juhendis.
Ulatusliku loa muudatused, mis on paljundatud kogu registris ja failisüsteemi ei saa tagasi võtta. Võivad mõjutada uued kaustad (nt kasutajaprofiili kaustad, mida ei esinenud operatsioonisüsteemi algses installis). Seega, kui eemaldate rühmapoliitika sätted, mis teeb DACL muudatusi või rakendate süsteemi vaikeväärtused, ei saa te algset DACLs tagasi pöörata.
Kaustas% SystemDrive% olevate DACL muudatused võivad põhjustada järgmisi stsenaariume.
-
Prügikast pole enam projekteeritud ja faile ei saa taastada.
-
Turbe vähenemine, mis võimaldab administraatori prügikasti sisu kuvada mitte-administraatorina.
-
Kasutaja profiilide tõrge ootuspäraselt toimida.
-
Turbe vähenemine, mis pakub interaktiivsetele kasutajatele juurdepääsu mõnele või kõigile kasutajaprofiilide süsteemile.
-
Jõudluse probleemid, kui palju DACL redigeerib laaditakse rühmapoliitika objektile, mis sisaldab pikemaid sisselogimise aegu või taaskäivitub TARGETi süsteem.
-
Jõudluse probleemid (sh süsteemi aeglustumine) iga 16 tunni järel või rühmapoliitika sätete uuesti rakendamisel.
-
Rakenduste ühilduvuse probleemid või rakendus jookseb kokku.
Selleks et saaksite eemaldada selliste dokumentide ja registrite jaoks kõige halvemad tulemid, annab Microsoft teie tugiteenuste lepingule majanduslikult mõistlikke jõupingutusi. Kuid te ei saa praegu neid muutusi tagasi pöörata. Saame garanteerida ainult seda, et saate naasta soovitatud out-of-Box ' i sätetesse kõvaketta ümbervormindamisega ja operatsioonisüsteemi uuesti installimise kaudu.
Näiteks mõjutavad registri DACLs muudatused registritaru suuri osi ja võivad põhjustada, et süsteemid ei toimi enam ootuspäraselt. Ühe registrivõtme DACLs muutmine tekitab mitmele süsteemile vähem probleeme. Siiski soovitame enne rakendamist hoolikalt kaaluda ja testida neid muudatusi. Jällegi saame garanteerida ainult seda, et te võite opsüsteemi uuesti vormindamise ja uuesti installimise korral tagastada soovitatud out-of-Box ' i sätted.
Microsoft network client: digitaalselt allkirjastada side (alati)
Kui lubate selle säte, peavad kliendid allkirjastama serveri sõnumite blokeerimise (SMB) liikluse, kui nad kontakteeruvad serveritega, mis ei nõua SMB allkirjastamist. See muudab kliendid vähem kaitsetuks seansi kaaperdamise rünnakute eest. See annab olulise väärtuse, kuid ei võimalda serveris sarnast muutust lubada, et lubada Microsoft network server: digitaalselt allkirjastada side (alati) või Microsoft network client: digitaalselt allkirjastada side (kui klient nõustub), ei saa klient serveriga edukalt suhelda.
Võrgu turvalisus: Ärge hoidke LAN Manageri Hash väärtust järgmisel parooli muutmisel
Kui lubate selle säte, ei salvestata parooli muutmisel uue parooli LAN Manageri (LM) räsi väärtust. LM Hash on suhteliselt nõrk ja altid rünnakule võrreldes krüptograafiliselt tugevam Microsoft Windows NT Hash. Kuigi see säte annab süsteemile ulatusliku lisaturbe, takistades paljusid levinud parooliga kattuvaid utiliite, võib säte takistada mõne rakenduse õiget käivitamist või käivitamist.
Süsteemi krüptograafia: krüptimiseks, hasheks ja allkirjastamiseks FIPS-i nõuetele vastavate algoritmide kasutamine
Kui lubate selle säte, kasutage Internet Information Services (IIS) ja Microsoft Internet Explorer ainult transpordikihi turbe (TLS) 1,0 protokolli. Kui see säte on lubatud serveris, kus töötab IIS, saab ühendust luua ainult veebibrauserid, mis toetavad TLS 1,0. Kui see säte on veebikliendis lubatud, saab klient luua ühenduse ainult serveritega, mis toetavad TLS 1,0 protokolli. See nõue võib mõjutada kliendi võimalust külastada veebisaite, mis kasutavad turvalist Sockets Layer (SSL). Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
811834 SSL-saite ei saa külastada pärast FIPS-i nõuetele vastava krüptimise lubamist
Lisaks, kui lubate selle säte serveris, kus terminaliteenuste kasutab, on kliendid sunnitud kasutama ühenduse loomiseks RDP-klientrakendust 5,2 või uuemat versiooni.
Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
811833 "Süsteemi krüptograafia" lubamise efektid: FIPS-iga ühilduvate algoritmide kasutamine krüptimiseks, räsimiseks ja allkirjastamiseks Windows XP ja uuemates Windowsi versioonides
Automaatne värskendamise teenus või tausta intelligentne edastus teenus (BITS) on keelatud
Microsoft Security strateegia ühe põhisambana tuleb veenduda, et süsteemid on värskendustega kursis. Selle strateegia põhiline komponent on Automaatvärskenduste teenus. Nii Windows Update ' i kui ka tarkvaravärskenduste teenused kasutavad automaatvärskenduste teenust. Automaatvärskenduste teenus sõltub taustal intelligentne edastus teenusest (bitti). Kui need teenused on keelatud, pole arvutitel enam võimalik Windows Update ' i kaudu värskendusi vastu võtta automaatvärskendusfunktsiooni kaudu (Software Update Services (SUS) või mõnest Microsoft Systems Management serveri (SMS) installist). Need teenused peaksid olema keelatud ainult sellistes süsteemides, mis on tõhus Update-jaotusvõrgu süsteem, mis ei sõltu bitti.
Teenus NetLogon on keelatud
Kui keelate teenuse NetLogon, ei tööta tööjaama enam usaldusväärselt domeeni liikmena. See säte võib olla sobiv teatud arvutites, mis ei osale domeenides. Siiski tuleks seda enne kasutuselevõttu hoolikalt hinnata.
NoNameReleaseOnDemand
See säte takistab serveri relinquishing selle NetBIOS-nime, kui see on vastuolus mõne teise võrgus oleva arvutiga. See säte on hea ennetavaid meetmeid, et keelduda teenuse rünnakutest serverite ja muude väga tähtsate serveri rollide vastu.
Kui lubate selle säte tööjaama, siis tööjaam keeldub oma NetBIOS-nimest loobuma isegi siis, kui nimi on vastuolus mõne muu olulise süsteemi nimega (nt domeenikontroller). Selle stsenaariumi korral saab olulise domeeni funktsionaalsuse keelata. Microsoft toetab tugevalt tööstuse pingutusi, et anda juhiseid, mis on suunatud juurutustele suurtes turvalisusega piirkondades. Neid juhiseid tuleb siiski uurida põhjalikult TARGETi keskkonnas. Soovitame tungivalt süsteemiadministraatoritel, kes nõuavad täiendavaid turvasätteid peale vaikesätete, kasutada Microsoft-välja juhikuid oma asutuse vajaduste lähtepunktis. Abi saamiseks või muude tootjate juhiste kohta küsimuste esitamiseks võtke ühendust juhendamist väljastanud asutusega.
Viited
Turvasätete kohta leiate lisateavet teemast ohud ja vastumeetmed: Windows Server 2003 ja Windows XP turvasätted. Selle juhendi allalaadimiseks külastage järgmist Microsofti veebisaiti:
http://go.microsoft.com/fwlink/?LinkId=15159Lisateavet mõne täiendava võtme turvasätete mõju kohta klõpsake Microsofti teabebaasi artikli kuvamiseks järgmisel artiklinumbril:
823659 Klient, teenus ja programmi mittevastavused, mis võivad ilmneda, kui muudate turvasätteid ja kasutajaõiguste assignmentsFor Lisateavet FIPS-i nõuetele vastavate algoritmide kohta, klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
811833 "Süsteemi krüptograafia" lubamine: FIPS-i nõuetele vastavate algoritmide kasutamine krüptimiseks, hasheks ja allkirjastamiseks Windows XP ja uuemate versionsMicrosoft pakub kolmanda osapoole kontaktteavet, mis aitab teil tehnilist tuge leida. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei garanteeri teiste tootjate kontaktteabe täpsust.
Riistvara tootja kohta teabe saamiseks külastage järgmist Microsofti veebisaiti:
