Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Sažetak

Microsoft, centar za internetsku sigurnost (CIS), državna sigurnost Agency (NSA), agencija za obrambene informacijske sustave (DISA) i Nacionalni institut za standarde i tehnologiju (NIST) objavili su "smjernice za konfiguraciju sigurnosti" za Microsoft Windows.

Visoka razina sigurnosti koja je navedena u nekim od tih vodiča može znatno ograničiti funkcionalnost sustava. Dakle, prije implementacije tih preporuka trebali biste obaviti značajna testiranja. Preporučujemo da poduzimate dodatne mjere opreza kada učinite sljedeće:

  • Uređivanje popisa kontrola programa Access (ACLs) za datoteke i ključeve registra

  • Omogućivanje Microsoftova mrežnog klijenta: digitalno potpisivanje komunikacija (uvijek)

  • Omogućivanje mrežne sigurnosti: ne pohranjujte vrijednost raspršivanja upravitelja LAN-a pri sljedećoj promjeni lozinke

  • Omogući kriptografiju sustava: koristite algoritme za FIPS kompatibilan s enkripcijom, raspršivanjem i potpisom

  • Onemogućivanje automatskog ažuriranja servisa ili pozadinske inteligentne usluge prijenosa (BITS-ovi)

  • Onemogućivanje servisa NETLOGON

  • Omogućivanje Neamereleaseondemand

Microsoft snažno podržava industrijske napore za pružanje sigurnosnih smjernica za implementaciju u visokim sigurnosnim područjima. No morate temeljito testirati smjernice u ciljnom okruženju. Ako su vam potrebne dodatne sigurnosne postavke iznad zadanih postavki, preporučujemo da pogledate vodiče koje je izdao Microsoft. Te vodiče mogu služiti kao polazište za preduvjete tvrtke ili ustanove. Da biste dobili podršku ili pitanja o vodilicama trećih strana, obratite se tvrtki ili ustanovi koja je izdala smjernice.

Uvod

U proteklih nekoliko godina, broj ustanova, uključujući Microsoft, centar za internetsku sigurnost (CIS), nacionalna sigurnost Agency (NSA), agencija za obrambene informacijske sustave (DISA) i Nacionalni institut za standarde i tehnologiju (NIST), objavili su "smjernice za konfiguraciju sigurnosti" za Windows. Kao i uz bilo koje sigurnosno navođenje, dodatna sigurnost koja je potrebna često ima nuspojavu na upotrebljivosti.

Nekoliko tih vodiča, uključujući vodiče iz Microsofta, od CIS-a i od NIST-a, sadrže više razina sigurnosnih postavki. Ovi vodiči mogu uključivati razine dizajnirane za sljedeće:

  • Interoperabilnost s starijim operativnim sustavima

  • Korporacijski okruženjima

  • Poboljšana sigurnost koja omogućuje ograničenu funkcionalnost

    zapamtite da je ova razina često poznata kao specijalizirana razina sigurnosti – ograničena funkcionalnost ili visoka razina sigurnosti.

Visoka sigurnost ili specijalizirana sigurnost – ograničena funkcionalnost, razina je dizajnirana posebno za vrlo neprijateljska okruženja pod značajnim rizikom od napada. Na ovoj razini čuvaju se informacije o najvišoj mogućoj vrijednosti, kao što su informacije koje su potrebne u nekim vladinim sustavima. Najviša razina sigurnosti većine javnog usmjerenja nije prikladna za većinu sustava na kojima je pokrenut Windows. Preporučujemo da ne koristite visoku razinu sigurnosti na radnim postajama općeg cilja. Preporučujemo da koristite visoku razinu sigurnosti samo na sustavima na kojima bi kompromis uzrokovao gubitak života, gubitak vrlo vrijednih informacija ili gubitak mnogo novca.

Nekoliko je Grupa funkcionirala s Microsoftom radi stvaranja tih sigurnosnih vodiča. U mnogim slučajevima te vodiče sve adrese slične prijetnje. Međutim, svaki se vodič neznatno razlikuje zbog zakonskih zahtjeva, lokalnih politika i funkcionalnih zahtjeva. Zbog toga se postavke mogu razlikovati od jednog skupa preporuka do sljedećeg. Odjeljak "ustanove koje proizvode javno dostupne sigurnosne smjernice" sadrži sažetak svakog sigurnosnog vodiča.

Dodatne informacije

Organizacije koje proizvode javno dostupne sigurnosne smjernice

Microsoft Corporation

Microsoft nudi upute za zaštitu vlastitih operacijskih sustava. Razvili smo sljedeće tri razine sigurnosnih postavki:

  • Enterprise Client (EZ)

  • Stand-Alone (SA)

  • Specijalizirana sigurnost – ograničena funkcionalnost (SSLF)

Temeljito smo testirali ove smjernice za korištenje u mnogim scenarijima korisnika. Smjernice su prikladne za bilo koju tvrtku ili ustanovu koja želi pomoći u osiguranju računala sa sustavom Windows.

U potpunosti podržavamo vodiče zbog opsežnog testiranja koje smo proveli u laboratorijima za kompatibilnost aplikacija na tim vodičima. Posjetite sljedeća Microsoftova web-mjesta da biste preuzeli vodiče:

Ako naiđete na probleme ili imate komentare nakon implementacije Microsoftovih sigurnosnih vodiča, povratne informacije možete poslati slanjem poruke e-pošte u secwish@microsoft.com.



Upute za konfiguraciju sigurnosti za operacijski sustav Windows, za Internet Explorer i za Office produktivnost suite nalaze se u programu Microsoft Security u upravitelju sigurnosnih usklađenosti: http://technet.Microsoft.com/en-us/library/cc677002.aspx.


Centar za internetsku sigurnost

CIS je razvio smjernice za pružanje informacija koje organizacijama olakšava donošenje informiranih odluka o određenim dostupnim sigurnosnim mogućnostima. CIS je omogućio tri razine sigurnosnih mjerila:

  • Naslijeđeni

  • Enterprise

  • Visoka sigurnost

Ako naiđete na probleme ili imate komentare nakon implementiranja mjernih postavki CIS-a, obratite se programu CIS slanjem poruke e-pošte u Win2k-feedback@cisecurity.org.

Podsjetnik za CIS se mijenja otkad smo prvobitno objavili ovaj članak (3. studenog 2004). Sadašnji vodič za CIS nalikuje smjernicama koje Microsoft pruža. Dodatne informacije o smjernicama koje Microsoft pruža potražite u odjeljku "Microsoft Corporation" u prethodnom dijelu ovog članka.

Nacionalni institut za standarde i tehnologiju

NIST je odgovoran za stvaranje sigurnosnih smjernica za saveznu vladu Sjedinjenih Američkih Država. NIST je stvorio četiri razine sigurnosnih smjernica koje koriste savezne agencije Sjedinjenih Američkih Država, privatne ustanove i javne organizacije:

  • SoHo

  • Naslijeđeni

  • Enterprise

  • Specijalizirana sigurnost – ograničena funkcionalnost

Ako nailite na probleme ili imate komentare nakon provedbe sigurnosnog predložaka NIST-a, obratite se NIST-u slanjem poruke e-pošte u itsec@nist.gov.

Upute za Niku se mijenjaju budući da smo izvorno objavili ovaj članak (3. studenog 2004). Sadašnje smjernice nisca nalikuje uputama koje Microsoft pruža. Dodatne informacije o smjernicama koje Microsoft pruža potražite u odjeljku "Microsoft Corporation" u prethodnom dijelu ovog članka.

Agencija za informacijske sustave obrane

DISA stvara smjernice posebno za korištenje u Ministarstvu obrane Sjedinjenih Američkih Država (DOD). Sjedinjene Američke Države DOD korisnici koji doživljavaju probleme ili imaju komentare nakon provedbe uputa za konfiguraciju DISA mogu pružiti povratne informacije slanjem poruke e-pošte na fso_spt@ritchie.disa.mil.

Notes DISA se mijenja budući da smo izvorno objavili ovaj članak (3. studenog 2004). Aktualne smjernice za DISA slične su ili identične smjernicama koje Microsoft pruža. Dodatne informacije o smjernicama koje Microsoft pruža potražite u odjeljku "Microsoft Corporation" u prethodnom dijelu ovog članka.

Nacionalna sigurnost Agency (NSA)

NSA je producirao smjernice za osiguravanje visokog rizika računala u Ministarstvu obrane Sjedinjenih Američkih Država (DOD). NSA je razvila jednu razinu smjernica koja odgovara približno visokoj razini sigurnosti koju proizvode druge tvrtke ili ustanove.

Ako naiđete na probleme ili imate komentare nakon provedbe sigurnosnih vodiča NSA-a za Windows XP, povratne informacije možete poslati slanjem poruke e-pošte u XPGuides@nsa.gov. Da biste omogućili povratne informacije o vodilicama sa sustavom Windows 2000, pošaljite poruku e-pošte u w2kguides@nsa.gov.

Notes NSA je promijenio budući da smo prvobitno objavili ovaj članak (3. studenog 2004). Sadašnje smjernice NSA-a slične su ili identične smjernicama koje Microsoft pruža. Dodatne informacije o smjernicama koje Microsoft pruža potražite u odjeljku "Microsoft Corporation" u prethodnom dijelu ovog članka.

Problemi s sigurnosnim smjernicama

Kao što je navedeno ranije u ovom članku, visoka razina sigurnosti opisana u nekim od tih vodiča dizajnirana je tako da značajno ograničava funkcionalnost sustava. Zbog tog ograničenja trebali biste temeljito testirati sustav prije implementacije tih preporuka.

Imajte na umu da sigurnosno navođenje koje je predviđeno za razine SoHo, Legacy ili Enterprise nije prijavljeno da ozbiljno utječe na funkcionalnost sustava. Ovaj je članak u bazi znanja prvenstveno usredotočen na smjernice koje su povezane s najvišom razinom sigurnosti. 

Snažno podržavamo industrijske napore za pružanje sigurnosnih smjernica za implementaciju u visokim sigurnosnim područjima. Nastavljamo raditi s grupama sigurnosnih standarda radi razvoja korisnih usmjeravanja koje je u potpunosti testiran. Sigurnosne smjernice trećih strana uvijek se izdaju s jakim upozorenjima da bi u potpunosti testirali smjernice u ciljnom okruženju visokog sigurnosnog okruženja. No ta upozorenja nisu uvijek obavezna. Provjerite jeste li temeljito testirali sve sigurnosne konfiguracije u ciljnom okruženju. Sigurnosne postavke koje se razlikuju od onih koje preporučujemo može poništiti testiranje kompatibilnosti aplikacija koje se obavljaju u sklopu postupka testiranja operacijskog sustava. Osim toga, mi i treće osobe posebno obeshrabruju primjenu nacrta smjernica u okruženju uživo u proizvodnji, a ne u testnom okruženju.

Visoki nivoi tih sigurnosnih vodiča obuhvaćaju nekoliko postavki koje biste trebali pažljivo procijeniti prije nego što ih implementirate. Iako te postavke mogu sadržavati dodatne sigurnosne pogodnosti, postavke mogu imati nuspojavu na upotrebljivosti sustava.

Izmjene popisa datoteka i kontrola pristupa registru

Windows XP i novije verzije sustava Windows znatno su pritegli dozvole u cijelom sustavu. Zbog toga ne bi trebalo biti potrebne opsežne promjene zadanih dozvola. 

Dodatni diskrecijski popis kontrole pristupa (DACL) može poništiti sve ili većinu testnih kompatibilnosti aplikacija koje Microsoft izvršava. Često promjene, kao što su ove, nisu provedena u detaljnu provjeru koju je Microsoft izveo na drugim postavkama. Slučajevi podrške i iskustva na polju pokazali su da djena uređivanja mijenja osnovno ponašanje operacijskog sustava, često na neplanirane načine. Te promjene utječu na kompatibilnost aplikacija i stabilnost te smanjivanje funkcionalnosti, s obzirom na performanse i mogućnosti.

Zbog tih promjena ne preporučujemo da na datotekama koje se nalaze u operacijskom sustavu na sustavima proizvodnog sustava mijenjate Ddacls u datotečnom sustavu. Preporučujemo da procijenite bilo koju dodatnu promjenu ACL-a u odnosu na poznatu prijetnju da biste razumjeli eventualne prednosti koje promjene mogu posuditi određenoj konfiguraciji. U tim razlozima Naši vodiči čine samo minimalnim promjenama u DACL-u i samo u sustavu Windows 2000. Za Windows 2000 potrebno je nekoliko manjih promjena. Te su promjene opisane u vodiču za sigurnosno učvršćivanje sustava Windows 2000.

Opsežne promjene dozvola koje se propaguju u cijelom registru i datotečnom sustavu ne mogu se poništiti. Možda će utjecati na nove mape, kao što su mape korisničkog profila koje nisu bile prisutne na izvornoj instalaciji operacijskog sustava. Zbog toga, ako uklonite postavku pravilnika grupe koja izvršava promjene DDACL-a ili primijenite zadane postavke sustava, ne možete vratiti izvorne DLS-ove. 

Promjene na DACL-u u mapi% SystemDrive% mogu prouzročiti sljedeće scenarije:

  • Koš za smeće više ne funkcionira kao dizajniran, a datoteke se ne mogu oporaviti.

  • Smanjenje sigurnosti koje neadministratorima omogućuje prikaz sadržaja koša za smeće administratora.

  • Neuspjeh korisničkih profila da funkcioniraju kao što je očekivano.

  • Smanjenje sigurnosti koje korisnicima omogućuje interaktivni pristup za čitanje nekim ili svim korisničkim profilima u sustavu.

  • Problemi s performansama kada se brojna uređivanja DACL-a učitaju u objekt pravilnika grupe koji sadrži dugo vrijeme prijave ili opetovano ponovno pokretanje ciljnog sustava.

  • Problemi s performansama, uključujući usporavanje sustava, svakih 16 sati ili tako da se postavke pravilnika grupe ponovno primjenjuju.

  • Problemi s kompatibilnošću aplikacija ili aplikacija se ruši.

Da bi vam se olakšala uklanjanje najgorih rezultata takvih dozvola za datoteke i registra, Microsoft će pružati komercijalno razumne napore u skladu s vašim ugovorom o podršci. No trenutno ne možete vraćati te promjene. Možemo jamčiti samo da se možete vratiti u preporučene postavke izvan okvira tako da ponovno formatirate pogon tvrdog diska i ponovno instalirate operacijski sustav.

Na primjer, izmjene u registru DACLs utječu na velike dijelove košnica registra i mogu uzrokovati da sustavi više ne funkcioniraju kao što je očekivano. Modificiranje DACLs-a na jednostrukim ključevima registra predstavlja manji problem za mnoge sustave. Međutim, preporučujemo da pažljivo razmotrite i testirate te promjene prije nego što ih implementirate. Opet, možemo jamčiti samo da se možete vratiti u preporučene postavke ako ponovno formatirate i ponovno instalirate operacijski sustav.

Microsoft Network Client: digitalno potpisivanje komunikacija (uvijek)

Kada omogućite tu postavku, klijenti moraju prijaviti promet u bloku poruke poslužitelja (SMB) kada se obratite poslužiteljima koji ne zahtijevaju potpisivanje SMB-a. Zbog toga su klijenti manje ranjivi zbog otmice sesija. Pruža značajnu vrijednost, no bez omogućivanja sličnih promjena na poslužitelju radi omogućivanja Microsoftova mrežnog poslužitelja: digitalno potpisivanje komunikacija (uvijek) ili Microsoftova mrežnih klijenata: digitalno potpisivanje komunikacija (ako se klijent slaže), klijent neće moći uspješno komunicirati s poslužiteljem.

Sigurnost mreže: ne pohranjujte vrijednost raspršivanja upravitelja LAN-a pri sljedećoj promjeni lozinke

Kada omogućite tu postavku, vrijednost raspršivanja LAN Managera (LM) za novu lozinku neće se pohraniti kada se lozinka promijeni. LM hash relativno je slab i sklon napadu u usporedbi s šifrirajim jačim raspršenjem sustava Microsoft Windows NT. Iako ta postavka sadrži opsežnu dodatnu sigurnost u sustavu sprječavanjem mnogih običnih komunalnih alata za razbijanje lozinki, postavka može onemogućiti pravilno pokretanje i pokretanje nekih aplikacija.

Kriptografija sustava: korištenje algoritama kompatibilnosti FIPS za šifriranje, raspršivanje i potpisivanje

Kada omogućite tu postavku, internetski informacijski servisi (IIS) i Microsoft Internet Explorer koriste samo protokol sigurnosnog sloja za transport (TLS) 1,0. Ako je ta postavka omogućena na poslužitelju na kojem je instaliran IIS, može se povezati samo web-preglednici koji podržavaju TLS 1,0. Ako je ta postavka omogućena na web-klijentu, klijent se može povezati samo s poslužiteljima koji podržavaju protokol TLS 1,0. Taj uvjet može utjecati na klijentov mogućnost posjete web-mjestima koja koriste Secure Sockets Layer (SSL). Dodatne informacije potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:

811834 Nije moguće posjetiti SSL web-mjesta nakon omogućivanja šifriranja za FIPS u skladu s
tim, kada tu postavku omogućite na poslužitelju koji koristi servisa Terminal Services, klijenti su prisiljeni koristiti RDP klijent 5,2 ili novije verzije da bi se povezali.

Dodatne informacije potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:

811833 Efekti omogućivanja "kriptografije sustava: korištenje algoritama kompatibilnih sa FIPS-om za šifriranje, raspršivanje i potpisivanje" sigurnosne postavke u sustavu Windows XP i novije verzije sustava Windows

Onemogućeno je automatsko ažuriranje servisa ili pozadinskog inteligentnog prijenosa (BITS)

Jedan od ključnih stupova Microsoftove sigurnosne strategije jest da biste bili sigurni da se sistemi zadržavaju na trenutnim promjenama. Ključna komponenta u ovoj strategiji jest servis za automatsko ažuriranje. Servisi za Windows Update i softverska ažuriranja koriste servis za automatsko ažuriranje. Servis za automatsko ažuriranje oslanja se na servis za pozadinsku inteligentnu prijenos (BITS). Ako su ovi servisi onemogućeni, računala više neće moći primati ažuriranja iz servisa Windows Update putem automatskih ažuriranja, iz web-servisa Update Services (SUS) ili iz nekih instalacija sustava Microsoft Systems Management Server (SMS). Te bi servise trebalo onemogućiti samo na sustavima koji imaju učinkovit sustav za distribuciju ažuriranja koji se ne oslanja na komadiće.

Servis NetLogon je onemogućen

Ako onemogućite servis NetLogon, radna stanica više ne funkcionira pouzdano kao član domene. Ta postavka možda odgovara nekim računalima koja ne sudjeluju u domenama. No, prije implementacije mora se pomno vrednovati.

Neamereleaseondemand

Tom se postavkom onemogućuje da se poslužitelj odrekne naziva NetBIOS-a ako je u sukobu s drugim računalom na mreži. Ta je postavka dobra preventivna mjera za odbijanje servisnih napada na poslužitelje naziva i druge vrlo važne uloge poslužitelja.

Kada tu postavku omogućite na radnoj stanici, radna stanica odbija prepustiti svoj NetBIOS naziv, čak i ako se naziv sukobljava s nazivom važnog sustava, kao što je kontroler domene. Ovaj scenarij može onemogućiti značajnu funkcionalnost domene. Microsoft snažno podržava industrijske napore za pružanje sigurnosnih smjernica koje su usmjerene na implementacije u visokim sigurnosnim područjima. Međutim, ovo se navođenje mora temeljito testirati u ciljnom okruženju. Preporučuje se da administratori sustava koji zahtijevaju dodatne sigurnosne postavke izvan zadanih postavki koriste vodiče Microsoftove tvrtke kao početnu točku za preduvjete njihove tvrtke ili ustanove. Da biste dobili podršku ili pitanja o vodilicama trećih strana, obratite se tvrtki ili ustanovi koja je izdala smjernice.

Reference

Dodatne informacije o sigurnosnim postavkama potražite u članku prijetnje i protumjere: sigurnosne postavke u sustavima Windows Server 2003 i Windows XP. Da biste preuzeli ovaj vodič, posjetite sljedeće Microsoftovo web-mjesto:

http://go.microsoft.com/fwlink/?LinkId=15159Dodatne informacije o efektu nekih dodatnih ključnih sigurnosnih postavki potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:

823659 Klijentske, servisne i nekompatibilnosti programa koje se mogu pojaviti prilikom promjene sigurnosnih postavki i korisničkih autorskih prava za dodatne informacije o efektima zahtjeva za sukladnim algoritmima FIPS-a kliknite sljedeći broj članka u Microsoftovoj bazi znanja:

811833 Efekti omogućivanja "kriptografije sustava: korištenje algoritama kompatibilnih sa FIPS-om za šifriranje, raspršivanje i potpisivanje" sigurnosnim postavkama u sustavu Windows XP i novijim verzijama Microsoft sadrži podatke za kontakt drugih proizvođača koji će vam pomoći da pronađete tehničku podršku. Podaci za kontakt mogu se promijeniti bez prethodne najave. Microsoft ne jamči točnost podataka za kontakt drugih proizvođača.


Informacije o proizvođaču hardvera potražite na sljedećem Microsoftovu web-mjestu:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-pošta

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×