סיכום
Microsoft, מרכז האבטחה של האינטרנט (CIS), הסוכנות לבטחון לאומי (סוכנות הביטחון הלאומית), הסוכנות למערכות מידע של ההגנה (DISA) והמכון הלאומי לתקנים וטכנולוגיה (NIST) פרסמה "הדרכה בנושא תצורת אבטחה" עבור Microsoft Windows.
רמות האבטחה הגבוהות המצוינות בחלק ממדריכים אלה עשויות להגביל באופן משמעותי את הפונקציונליות של מערכת. לכן, עליך לבצע בדיקה משמעותית לפני שתפרוס המלצות אלה. מומלץ לנקוט באמצעי זהירות נוספים בעת ביצוע הפעולות הבאות:-
עריכת רשימות בקרת גישה (Acl) עבור קבצים ומפתחות רישום
-
הפוך את לקוח הרשת של Microsoft לזמין: הוסף חתימה דיגיטלית לתקשורת (תמיד)
-
הפיכת אבטחת רשת לזמינה: אל תאחסן את ערך ה-hash של LAN Manager בשינוי הסיסמה הבא
-
הפיכת הצפנת מערכת לזמינה: שימוש באלגוריתמים תואמי FIPS עבור הצפנה, גיבוב וחתימה
-
הפיכת שירות עדכונים אוטומטיים או שירות העברה חכמה ברקע (BITS) ללא זמין
-
הפיכת שירות NetLogon ללא זמין
-
הפיכת NoNameReleaseOnDemand לזמין
Microsoft תומכת בחוזקה במאמצי התעשייה כדי לספק הדרכה בנושאי אבטחה עבור פריסות באזורי אבטחה גבוהים. עם זאת, עליך לבדוק ביסודיות את ההדרכה בסביבת היעד. אם אתה זקוק להגדרות אבטחה נוספות מעבר להגדרות ברירת המחדל, אנו ממליצים מאוד לראות את המדריכים שהונפקו על-ידי Microsoft. מדריכים אלה יכולים לשמש כנקודת התחלה עבור הדרישות של הארגון שלך. לקבלת תמיכה או לשאלות לגבי מדריכים של ספקים חיצוניים, פנה לארגון שהנפיק את ההדרכה.
מבוא
במהלך השנים האחרונות, מספר ארגונים, כולל Microsoft, המרכז לאבטחת אינטרנט (CIS), הסוכנות לבטחון לאומי (NSA), הסוכנות למערכות מידע של ההגנה (DISA), והמכון הלאומי לתקנים וטכנולוגיה (NIST), פרסמו "הדרכה בנושא תצורת אבטחה" עבור Windows. בדומה להדרכה ביטחונית, האבטחה הנוספת הנדרשת לעתים קרובות משפיעה לרעה על שימושיות.
כמה ממדריכים אלה, כולל המדריכים מ-Microsoft, מ-CIS ו-NIST, מכילים רמות מרובות של הגדרות אבטחה. מדריכים אלה עשויים לכלול רמות המיועדות להלן:-
יכולת פעולה הדדית עם מערכות הפעלה ישנות יותר
-
סביבות ארגוניות
-
אבטחה משופרת המספקת הערת פונקציונליות מוגבלת
רמה זו נקראת לעתים קרובות כרמת פונקציונליות מוגבלת – רמת פונקציונליות מוגבלת או רמת האבטחה הגבוהה.
האבטחה הגבוהה, או האבטחה המקצועית – פונקציונליות מוגבלת, הרמה מיועדת במיוחד לסביבה עוינת מאוד בסיכון משמעותי להתקפה. רמה זו שומרת מידע על הערך הגבוה ביותר האפשרי, כגון מידע הנדרש על-ידי חלק מהמערכות הממשלתיות. רמת האבטחה הגבוהה של רוב ההדרכה הציבורית אינה מתאימה לרוב המערכות הפועלות ב-Windows. אנו ממליצים לא להשתמש ברמת האבטחה הגבוהה בתחנות עבודה כלליות. אנו ממליצים להשתמש ברמת האבטחה הגבוהה רק במערכות שבהן פשרה גרמה לאובדן חיים, לאובדן מידע חשוב מאוד או לאובדן הרבה כסף.
מספר קבוצות עבדו עם Microsoft כדי להפיק מדריכי אבטחה אלה. במקרים רבים, מדריכים אלה כוללים איומים דומים. עם זאת, כל מדריך שונה מעט עקב דרישות משפטיות, מדיניות מקומית ודרישות פונקציונליות. מסיבה זו, ההגדרות עשויות להשתנות מקבוצת המלצות אחת לשניה. המקטע "ארגונים המייצרים הדרכה בנושא אבטחה זמינים לציבור" מכיל סיכום של כל מדריך אבטחה.מידע נוסף
ארגונים המייצרים הדרכה בנושא אבטחה הזמינה באופן ציבורי
Microsoft Corporation
Microsoft מספקת הדרכה לגבי אופן הסיוע באבטחת מערכות הפעלה משלנו. פיתחנו את שלוש הרמות הבאות של הגדרות אבטחה:
-
לקוח ארגוני (EC)
-
Stand-Alone (SA)
-
אבטחה מקצועית – פונקציונליות מוגבלת (SSLF)
בחנו ביסודיות הנחיה זו לשימוש בתרחישים רבים של לקוחות. ההדרכה מתאימה לכל ארגון שמבקש לסייע באבטחת המחשבים המבוססים על Windows.
אנו תומכים באופן מלא במדריכים שלנו בשל הבדיקות הנרחבות שערכנו במעבדות תאימות היישומים שלנו במדריכים אלה. בקר באתרי האינטרנט הבאים של Microsoft כדי להוריד את המדריכים שלנו:-
מדריך האבטחה של Windows Vista:
-
תוכנית בסיסית של אבטחה של Windows XP:
-
תוכנית האבטחה הבסיסית של Windows Server 2003:
-
מדריך להתקשות אבטחה של Windows 2000:
אם אתה נתקל בבעיות או מקבל הערות לאחר שאתה מיישם את מדריכי האבטחה של Microsoft, באפשרותך לספק משוב על-ידי שליחת הודעת דואר אלקטרוני אל secwish@microsoft.com. הדרכה בנושא תצורת אבטחה עבור מערכת ההפעלה של Windows, עבור Internet Explorer, ועבור חבילת הפרודוקטיביות של Office מוצעת במנהל תאימות האבטחה של Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.
המרכז לאבטחת אינטרנט
CIS פיתחו בחינות כדי לספק מידע שעוזר לארגונים לקבל החלטות מושכלות לגבי אפשרויות אבטחה זמינות מסוימות. CIS סיפק שלוש רמות של בחינות אבטחה:
-
מורשת
-
ארגון
-
אבטחה גבוהה
אם אתה נתקל בבעיות או מקבל הערות לאחר שאתה מיישם את הגדרות בחינת המידה של CIS, פנה אל CIS על-ידי שליחת הודעת דואר אלקטרוני אל win2k-feedback@cisecurity.org. הערה ההדרכה של CIS השתנתה מאז שפרסמנו מאמר זה במקור (3 בנובמבר 2004). ההנחיה הנוכחית של CIS דומה להנחיה ש-Microsoft מספקת. לקבלת מידע נוסף אודות ההדרכה ש-Microsoft מספקת, קרא את הסעיף "Microsoft Corporation" מוקדם יותר במאמר זה.
המכון הלאומי לתקנים וטכנולוגיה
NIST אחראי ליצירת הדרכה בנושא אבטחה עבור ממשלת ארצות הברית. NIST יצר ארבע רמות הדרכה של אבטחה הנמצאות בשימוש על-ידי סוכנויות הפדרליות של ארצות הברית, ארגונים פרטיים וארגונים ציבוריים:
-
סוהו
-
מורשת
-
ארגון
-
אבטחה מקצועית – פונקציונליות מוגבלת
אם אתה נתקל בבעיות או מקבל הערות לאחר שאתה מיישם את תבניות האבטחה של NIST, פנה לNIST על-ידי שליחת הודעת דואר אלקטרוני ל- itsec@nist.gov. הערה ההדרכה של NIST השתנתה מאז שפרסמנו מאמר זה במקור (3 בנובמבר 2004). ההנחיה הנוכחית של NIST דומה להנחיה ש-Microsoft מספקת. לקבלת מידע נוסף אודות ההדרכה ש-Microsoft מספקת, קרא את הסעיף "Microsoft Corporation" מוקדם יותר במאמר זה.
הסוכנות למערכות מידע של ההגנה
DISA יוצר הדרכה במיוחד לשימוש במשרד ההגנה של ארצות הברית (משרד ההגנה). משתמשי משרד ההגנה של ארצות הברית החווים בעיות או הערות לאחר שהם מיישמים את ההנחיות לקביעת התצורה של DISA יכולים לספק משוב על-ידי שליחת הודעת דואר אלקטרוני ל- fso_spt@ritchie.disa.mil. הערה ההדרכה של DISA השתנתה מאז שפרסמנו מאמר זה במקור (3 בנובמבר 2004). ההדרכה הנוכחית של DISA דומה או זהה להנחיה שמיקרוסופט מספקת. לקבלת מידע נוסף אודות ההדרכה ש-Microsoft מספקת, קרא את הסעיף "Microsoft Corporation" מוקדם יותר במאמר זה.
הסוכנות לביטחון לאומי (NSA)
הסוכנות לבטחון לאומי יצרה הדרכה כדי לסייע באבטחת מחשבים בעלי סיכון גבוה במשרד ההגנה של ארצות הברית (משרד ההגנה). הסוכנות לבטחון לאומי פיתחה רמה אחת של הדרכה המתאימה בקירוב לרמת האבטחה הגבוהה המופקת על-ידי ארגונים אחרים.XPGuides@nsa.gov. כדי לספק משוב על מדריכי Windows 2000, שלח הודעת דואר אלקטרוני ל- w2kguides@nsa.gov. הערה ההדרכה של הסוכנות האיסלאמית השתנתה מאז שפרסמנו במקור מאמר זה (3 בנובמבר 2004). ההדרכה הנוכחית של ה-NSA היא דומה או זהה להנחיה שמיקרוסופט מספקת. לקבלת מידע נוסף אודות ההדרכה ש-Microsoft מספקת, קרא את הסעיף "Microsoft Corporation" מוקדם יותר במאמר זה.
אם אתה נתקל בבעיות או מקבל הערות לאחר שאתה מיישם את מדריכי האבטחה של ה-NSA עבור Windows XP, באפשרותך לספק משוב על-ידי שליחת הודעת דואר אלקטרוני אלבעיות הדרכה בנושא אבטחה
כפי שהוזכר קודם לכן במאמר זה, רמות האבטחה הגבוהות המתוארות בחלק ממדריכים אלה נועדו להגביל באופן משמעותי את הפונקציונליות של מערכת. בשל מגבלה זו, עליך לבדוק ביסודיות מערכת לפני שתפרוס המלצות אלה.
שים לב ההדרכה הביטחונית המוצגת עבור הרמות סוהו, מדור קודם או הארגון לא דווחה על השפעה חמורה על פונקציונליות המערכת. מאמר זה של Knowledge Base מתמקד בעיקר בהדרכה המשויכת לרמת האבטחה הגבוהה ביותר. אנו תומכים מאוד במאמצים בתעשייה כדי לספק הנחיות אבטחה עבור פריסות באזורי אבטחה גבוהים. אנו ממשיכים לעבוד עם קבוצות של תקני אבטחה לפיתוח הדרכה שימושית להתקשות שנבדקת במלואה. הנחיות אבטחה מספקים חיצוניים מונפקים תמיד עם אזהרות חזקות כדי לבדוק באופן מלא את הקווים המנחים בסביבות היעד של אבטחה גבוהה. עם זאת, אזהרות אלה אינן מועברות תמיד לתשומת לב. הקפד לבדוק ביסודיות את כל תצורות האבטחה בסביבת היעד שלך. הגדרות אבטחה המשתנות מאלה שאנו ממליצים לבטל את התוקף של בדיקות תאימות היישומים המבוצעות כחלק מתהליך הבדיקה של מערכת ההפעלה. בנוסף, אנו וגורמי צד שלישי מספקים במיוחד החלת הדרכה בסביבת ייצור חיה במקום בסביבת בדיקה. הרמות הגבוהות של מדריכי אבטחה אלה כוללות כמה הגדרות שעליך להעריך בזהירות לפני שאתה מיישם אותן. למרות שהגדרות אלה עשויות לספק יתרונות אבטחה נוספים, ייתכן שההגדרות ישפיעו לרעה על השימושיות של המערכת.שינויים ברשימת בקרת הגישה של מערכת הקבצים והרישום
Windows XP וגירסאות מתקדמות יותר של Windows הידקו הרשאות באופן משמעותי בכל המערכת. לכן, אין צורך לבצע שינויים נרחבים בהרשאות ברירת המחדל.
שינויים נוספים של רשימת בקרת גישה לפי שיקול דעת (DACL) עשויים לבטל את התוקף של כל בדיקות תאימות היישומים שבוצעו על-ידי Microsoft. לעתים קרובות, שינויים כגון אלה לא עברו את הבדיקה היסודית ש-Microsoft הבצעת בהגדרות אחרות. מקרי תמיכה וחוויית שדה הראו שעריכות DACL משנות את אופן הפעולה הבסיסי של מערכת ההפעלה, לעתים קרובות בדרכים לא מכוונות. שינויים אלה משפיעים על תאימות ויציבות של יישומים ומצמצמים פונקציונליות, ביחס לביצועים וליכולת. עקב שינויים אלה, איננו ממליצים לשנות רשימות DACL של מערכת קבצים בקבצים הכלולים במערכת ההפעלה במערכות ייצור. מומלץ להעריך שינויים נוספים של ACL כנגד איום ידוע להבנת כל היתרונות הפוטנציאליים שבהם השינויים עשויים להעניק לתצורה ספציפית. מסיבות אלה, המדריכים שלנו מאפשרים שינויים ברשימת DACL מינימלית בלבד רק ב-Windows 2000. עבור Windows 2000, נדרשות כמה שינויים משניים. שינויים אלה מתוארים במדריך התקשות האבטחה של Windows 2000. אין אפשרות לבטל שינויים נרחבים בהרשאות המופצות במהלך הרישום ומערכת הקבצים. תיקיות חדשות, כגון תיקיות של פרופילי משתמשים שלא נכחו בהתקנה המקורית של מערכת ההפעלה, עשויות להיות מושפעות. לכן, אם תסיר הגדרת מדיניות קבוצתית שמבצעת שינויים ב-DACL, או אם תחיל את ברירות המחדל של המערכת, לא תוכל להחזיר את רשימות ה-DACL המקוריות. שינויים ב-DACL בתיקיה% SystemDrive% עשויים לגרום לתרחישים הבאים:-
סל המיחזור אינו מתפקד עוד כמתוכנן, ולא ניתן לשחזר קבצים.
-
הפחתת אבטחה המאפשרת למשתמשים שאינם מנהלי מערכת להציג את התוכן של סל המיחזור של מנהל המערכת.
-
כשל של פרופילי משתמשים כדי לתפקד כמצופה.
-
הפחתת אבטחה המספקת למשתמשים אינטראקטיביים גישת קריאה לחלק מפרופילי המשתמש או לכל פרופילי המשתמשים במערכת.
-
בעיות ביצועים כאשר עריכות רבות של DACL נטענות לאובייקט מדיניות קבוצתית הכולל זמני כניסה ארוכים או הפעלה חוזרת של מערכת היעד.
-
בעיות ביצועים, כולל האטות מערכת, כל 16 שעות או כך כאשר הגדרות מדיניות קבוצתית מוחלות מחדש.
-
בעיות תאימות של יישומים או יישומים מתרסקות.
כדי לעזור לך להסיר את התוצאות הגרועות ביותר של הרשאות קובץ ורישום, Microsoft תספק מאמצים סבירים באופן מסחרי בשורה באמצעות חוזה התמיכה שלך. עם זאת, אין באפשרותך להחזיר שינויים אלה כעת. אנו יכולים להבטיח שתוכל לחזור להגדרות המומלצות של ' מחוץ לתיבה ' על-ידי אתחול מחדש של כונן הדיסק הקשיח והתקנה מחדש של מערכת ההפעלה.
לדוגמה, שינויים ברשימות DACL של רישום משפיעים על חלקים גדולים של כוורות הרישום ועשויים לגרום למערכות לא לפעול עוד כמצופה. שינוי רשימות ה-DACL במפתחות רישום בודדים מציב פחות בעיה במערכות רבות. עם זאת, מומלץ לשקול בעיון שינויים אלה ולבדוק אותם לפני שתיישם אותם. שוב, אנו יכולים להבטיח שתוכל לחזור להגדרות המומלצות של ' מחוץ לתיבה ' אם אתה מעצב מחדש ומתקין מחדש את מערכת ההפעלה.לקוח רשת של Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)
כאשר תהפוך הגדרה זו לזמינה, לקוחות חייבים לחתום על תעבורת הודעות השרת (SMB) כאשר הם ייצרו קשר עם השרתים שאינם דורשים חתימת SMB. פעולה זו הופכת את הלקוחות לפגיעים פחות להתקפות חטיפת הפעלות. הוא מספק ערך משמעותי, אך ללא הפיכת שינוי דומה בשרת לזמין עבור microsoft network server: הוספת חתימה דיגיטלית לתקשורת (תמיד) או לקוח רשת של microsoft: הוספת חתימה דיגיטלית לתקשורת (אם הלקוח מסכים), הלקוח לא יוכל לקיים תקשורת בהצלחה עם השרת.
אבטחת רשת: אל תאחסן את ערך ה-hash של LAN Manager בשינוי הסיסמה הבא
בעת הפיכת הגדרה זו לזמינה, ערך ה-hash של LAN Manager (LM) עבור סיסמה חדשה לא יאוחסן בעת שינוי הסיסמה. ה-hash של LM חלש יחסית ונוטה להתקיף בהשוואה לקוד ה-hash החזק ביותר באמצעות הצפנה של Microsoft Windows NT. למרות שהגדרה זו מספקת אבטחה נוספת מקיפה למערכת על-ידי מניעת שירותים נפוצים רבים לפיצוח סיסמאות, ההגדרה יכולה למנוע הפעלה או פעולה תקינה של יישומים מסוימים.
הצפנת מערכת: שימוש באלגוריתמים תואמי FIPS עבור הצפנה, גיבוב וחתימה
בעת הפיכת הגדרה זו לזמינה, שירותי מידע באינטרנט (IIS) ו-Microsoft Internet Explorer משתמשים רק בפרוטוקול אבטחת שכבת התעבורה (TLS) 1.0. אם הגדרה זו זמינה בשרת שבו פועל IIS, רק דפדפני אינטרנט התומכים ב-TLS 1.0 יכולים להתחבר. אם הגדרה זו זמינה בלקוח אינטרנט, הלקוח יכול להתחבר רק לשרתים התומכים בפרוטוקול TLS 1.0. דרישה זו עשויה להשפיע על היכולת של הלקוח לבקר באתרי אינטרנט המשתמשים בשכבת Secure Sockets (SSL). לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר ב-Microsoft Knowledge Base:
811834 אין אפשרות לבקר באתרי SSL לאחר שתהפוך הצפנה תואמת FIPS לזמינה בנוסף, כאשר תהפוך הגדרה זו לזמינה בשרת המשתמש בשירותי מסופים, הלקוחות יאלצו להשתמש בגירסה הבאה של לקוח RDP 5.2 או בגירסאות מתקדמות יותר כדי להתחבר. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר ב-Microsoft Knowledge Base:
811833 ההשפעות של הפעלת הצפנת מערכת: שימוש באלגוריתמים תואמי FIPS עבור הצפנה, גיבוב וחתימה "הגדרת אבטחה ב-Windows XP ובגירסאות מתקדמות יותר של Windows
שירות עדכונים אוטומטיים או שירות העברה חכמה ברקע (BITS) אינו זמין
אחד מעמודי המפתח של אסטרטגיית האבטחה של Microsoft הוא לוודא שהמערכות נשמרות עדכניות בעדכונים. רכיב מפתח באסטרטגיה זו הוא שירות העדכונים האוטומטיים. שירותי העדכון והתוכנה של Windows משתמשים בשירות העדכונים האוטומטיים. שירות העדכונים האוטומטיים מסתמך על שירות ההעברה החכמה ברקע (BITS). אם שירותים אלה אינם זמינים, המחשבים לא יוכלו עוד לקבל עדכונים מ-Windows Update באמצעות עדכונים אוטומטיים, מהתקנות עדכוני תוכנה (SUS) או מהתקנות מסוימות של Microsoft System Management Server (SMS). יש להפוך שירותים אלה ללא זמינים רק במערכות הכוללות מערכת הפצת עדכונים יעילה שאינה נשענת על BITS.
שירות NetLogon אינו זמין
אם תהפוך את שירות NetLogon ללא זמין, תחנת עבודה שאינה מתפקדת עוד כחבר בתחום. הגדרה זו עשויה להתאים למחשבים מסוימים שאינם משתתפים בתחומים. עם זאת, יש להעריך אותה בזהירות לפני הפריסה.
NoNameReleaseOnDemand
הגדרה זו מונעת מהשרת לוותר על שם ה-NetBIOS שלו אם הוא מתנגש עם מחשב אחר ברשת. הגדרה זו מהווה מידה מונעת טובה להתקפות מניעת שירות כנגד שרתי שמות ותפקידי שרת חשובים אחרים.
בעת הפיכת הגדרה זו לזמינה בתחנת עבודה, תחנת העבודה מסרבת לוותר על שם ה-NetBIOS שלה גם אם השם מתנגש עם השם של מערכת חשובה יותר, כגון בקר תחום. תרחיש זה יכול להפוך את הפונקציונליות של תחום חשוב ללא זמינה. Microsoft תומכת בחוזקה במאמצים בתעשייה כדי לספק הדרכה בנושא אבטחה המיועדת לפריסות באזורי אבטחה גבוהים. עם זאת, יש לבדוק הדרכה זו באופן יסודי בסביבת היעד. אנו ממליצים מאוד למנהלי מערכת הדורשים הגדרות אבטחה נוספות מעבר להגדרות ברירת המחדל, השתמש במדריכים שהונפקו על-ידי Microsoft כנקודת התחלה עבור הדרישות של הארגון שלהם. לקבלת תמיכה או לשאלות לגבי מדריכים של ספקים חיצוניים, פנה לארגון שהנפיק את ההדרכה.הפניות
לקבלת מידע נוסף אודות הגדרות אבטחה, ראה איומים ואמצעי נגד: הגדרות אבטחה ב-Windows Server 2003 ו-Windows XP. כדי להוריד מדריך זה, בקר באתר האינטרנט הבא של Microsoft:
http://go.microsoft.com/fwlink/?LinkId=15159לקבלת מידע נוסף אודות ההשפעה של כמה הגדרות אבטחה נוספות של מפתח, לחץ על מספר המאמר הבא כדי להציג את המאמר ב-Microsoft Knowledge Base:
823659 אי-התאימות של הלקוח, השירות והתוכנית העלולה להתרחש בעת שינוי הגדרות אבטחה וזכויות משתמשים assignmentsFor מידע נוסף אודות ההשפעות של הצורך באלגוריתמים תואמי FIPS, לחץ על מספר המאמר הבא כדי להציג את המאמר ב-Microsoft Knowledge Base:
811833 ההשפעות של הפעלת הצפנת מערכת: שימוש באלגוריתמים תואמי FIPS עבור הצפנה, גיבוב וחתימה "הגדרת אבטחה ב-Windows XP ואילך versionsMicrosoft מספקת פרטי קשר של ספקים חיצוניים שיעזרו לך למצוא תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. Microsoft אינה ערבה לדיוקם של פרטי הקשר של הספק האמור. לקבלת מידע אודות יצרן החומרה שלך, בקר באתר האינטרנט הבא של Microsoft: