Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

Összefoglalás

A Microsoft, az Internetbiztonsági Központ (CIS), a Nemzeti Biztonsági Ügynökség (NSA), a Védelmi információs rendszerek Ügynöksége (DISA) és a National Institute of Standards and Technology (NIST) "biztonsági konfigurációs útmutatót" tett közzé a Microsoft Windowshoz.

Az ezen útmutatók némelyikében megadott magas szintű biztonsági szintek jelentősen korlátozhatják a rendszerek működését. Ezért a javaslatok telepítése előtt jelentős tesztelést kell végeznie. Azt javasoljuk, hogy az alábbi lépések során tegyen további elővigyázatosságot:

  • Hozzáférés-vezérlési listák (ACLs) szerkesztése fájlokhoz és beállításkulcsokhoz

  • A Microsoft hálózati ügyfélprogram engedélyezése: Kommunikáció digitális aláírása (mindig)

  • Hálózati biztonság engedélyezése: Ne tárolja a LAN Manager-kivonat értékét a következő jelszó-módosításnál

  • A rendszertitkosítás engedélyezése: FIPS-kompatibilis algoritmusok használata titkosításhoz, kivonatoláshoz és aláíráshoz

  • Az automatikus frissítési szolgáltatás vagy a háttér intelligens átviteli szolgáltatásának (BITS) letiltása

  • A NetLogon szolgáltatás letiltása

  • A NoNameReleaseOnDemand engedélyezése

A Microsoft kifejezetten támogatja az iparági erőfeszítéseket, hogy biztonsági útmutatást nyújtson a magas szintű biztonsági területeken üzemelő telepítésekhez. A célkörnyezetben azonban alaposan tesztelnie kell az útmutatást. Ha az alapértelmezett beállításokon kívül további biztonsági beállításokra is szüksége van, javasoljuk, hogy tekintse meg a Microsoft által kiadott útmutatókat. Ezek az útmutatók kiindulópontként szolgálhatnak a szervezet igényeinek megfelelően. Támogatásért vagy külső útmutatókkal kapcsolatos kérdésekért forduljon az útmutatót kibocsátó szervezethez.

Bevezetés

Az elmúlt néhány év során számos szervezet, többek között a Microsoft, az Internetbiztonsági Központ (CIS), a Nemzeti Biztonsági Ügynökség (NSA), a Védelmi információs rendszerek ügynöksége (DISA) és a National Institute of Standards and Technology (NIST) "biztonsági konfigurációs útmutatót" tett közzé a Windowshoz. A biztonsági útmutatáshoz hasonlva, a gyakran szükséges további biztonság is hátrányosan hat a használhatóságra.

A fenti útmutatók közül számos, beleértve a Microsofttól, a CIS-től és a NIST-től származó útmutatókat, több biztonsági szintet tartalmaznak. Ezek a segédvonalak az alábbiakhoz tervezett szinteket tartalmazhatnak:

  • A régebbi operációs rendszerekkel való együttműködés

  • Nagyvállalati környezetek

  • Továbbfejlesztett biztonság, amely korlátozott funkcionalitást biztosít. Ez a szint gyakran speciális biztonság – korlátozott funkcionalitás vagy magas biztonsági

    szint.

A Magas biztonság vagy Speciális biztonság – Korlátozott funkcionalitás szint kifejezetten környezetekben való használatra lett tervezve, jelentős támadási kockázatnak kitéve. Ez a szint a lehető legnagyobb értékű információkat jelenti, például egyes kormányzati rendszerek által megkövetelt információkat. A nyilvános útmutató nagy biztonsági szintje nem megfelelő a Windowst futtató rendszerek legtöbbje számára. Azt javasoljuk, hogy ne használja a Magas biztonsági szintet általános célú munkaállomásokon. Azt javasoljuk, hogy a Magas biztonság szintet csak olyan rendszereken használja, amelyekben a feltört rendszerek életvesztést, nagyon értékes információk elvesztését vagy sok-sok pénz elvesztését okozhatják.

Számos csoport dolgozott együtt a Microsofttal ezeknek a biztonsági útmutatóknak a előállításában. Ezek az útmutatók sok esetben hasonló fenyegetésekkel foglalkoznak. Az egyes útmutatók azonban kissé eltérnek a jogi előírások, a helyi irányelvek és a funkcionális követelmények miatt. Emiatt a beállítások a javaslatoktól függően változhatnak. A "Nyilvánosan elérhető biztonsági útmutatást tartalmazó szervezetek" szakasz minden egyes biztonsági útmutató összefoglalását tartalmazza.

További információ

Nyilvánosan elérhető biztonsági útmutatást ozó szervezetek

Microsoft Corporation

A Microsoft útmutatást nyújt arról, hogy miként segítheti saját operációs rendszereink biztonságát. Az alábbi három biztonsági szintet fejlesztettük ki:

  • Nagyvállalati ügyfél (EC)

  • Stand-Alone (SA)

  • Speciális biztonság – korlátozott funkcionalitás (SSLF)

Ezt az útmutatót alaposan teszteltük számos ügyfél forgatókönyvben való használatra. Az útmutató minden olyan szervezetnek megfelelő, amely a Windows-alapú számítógépek biztonságának biztosítása érdekében kíván segítséget kérni.

Teljes mértékben támogatjuk útmutatóinkat az alkalmazáskompatibilitási problémákon végzett kiterjedt tesztelések miatt. Az útmutatóink letöltéséhez látogasson el a Microsoft alábbi webhelyére:

Ha problémákat tapasztal vagy megjegyzéseket tapasztal a Microsoft biztonsági útmutatója implementálja után, visszajelzést küldhet e-mailben a secwish@microsoft.com.



A Windows operációs rendszerre, az Internet Explorerre és az Office hatékonyságnövelő programcsomagra vonatkozó biztonsági konfigurációs útmutatást a Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


Az Internetbiztonság központ

A ciS olyan teljesítményt fejlesztett ki, amely információkkal segíti a szervezeteket abban, hogy tájékozott döntéseket hozzanak bizonyos rendelkezésre álló biztonsági döntésekről. A CIS három biztonsági teljesítményt biztosít:

  • Régi

  • Nagyvállalati

  • Magas biztonság

Ha problémákat tapasztal vagy megjegyzéseket tapasztal a CIS teljesítményteszt-beállítások implementálja után, lépjen kapcsolatba a CIS-rel e-mailbena win2k-feedback@cisecurity.org.

Megjegyzés: A CIS útmutatója megváltozott a cikk eredeti közzététele óta (2004. november 3.). A CIS jelenlegi útmutatója hasonlít a Microsoft által nyújtott útmutatáshoz. A Microsoft által nyújtott útmutatásról a jelen cikk korábbi, "Microsoft Corporation" című szakaszában olvashat bővebben.

A National Institute of Standards and Technology

A NIST felelős az Amerikai Egyesült Államok szövetségi kormányának biztonsági útmutató létrehozásáért. A NIST az Amerikai Egyesült Államok szövetségi ügynökségei, magánszervezetek és állami szervezetek által használt négy biztonsági szintű útmutatót hozott létre:

  • SoHo

  • Régi

  • Nagyvállalati

  • Speciális biztonság – korlátozott funkcionalitás

Ha problémákat tapasztal vagy megjegyzéseket tapasztal a NIST biztonsági sablonok implementálja után, lépjen kapcsolatba a NIST-rel e-mailbena itsec@nist.gov.

Megjegyzés: A NIST útmutatója megváltozott a cikk eredeti közzététele óta (2004. november 3.). A NIST jelenlegi útmutatója hasonlít a Microsoft által nyújtott útmutatáshoz. A Microsoft által nyújtott útmutatásról a jelen cikk korábbi, "Microsoft Corporation" című szakaszában olvashat bővebben.

Védelmi információs rendszerek ügynöksége

A DISA kifejezetten az Amerikai Egyesült Államok védelmi minisztériumának (DOD) számára hoz létre útmutatást. Az Amerikai Egyesült Államok DoD-felhasználói, akik problémákat tapasztalnak vagy megjegyzéseket fűznek a DISA konfigurációs útmutatójának implementációja után, visszajelzést küldhetnek, ha e-mailtküldenek a fso_spt@ritchie.disa.mil.

Megjegyzés: A DISA útmutatója megváltozott a cikk eredeti közzététele óta (2004. november 3.). A DISA jelenlegi útmutatása hasonló vagy azonos a Microsoft által nyújtott útmutatással. A Microsoft által nyújtott útmutatásról a jelen cikk korábbi, "Microsoft Corporation" című szakaszában olvashat bővebben.

A Nemzeti Biztonsági Ügynökség (NSA)

Az NSA az Amerikai Egyesült Államok Védelmi Minisztériumának (DOD) nagy kockázatú számítógépei védelméhez nyújt útmutatást. Az NSA kifejlesztett egy olyan szintű útmutatót, amely megközelítőleg megfelel a más szervezetek által készített Magas biztonsági szintnek.

Ha problémákat tapasztal vagy megjegyzéseket kap, miután implementálja a Windows XP-hez szükséges NSA biztonsági útmutatókat, visszajelzést küldhet e-mailbena XPGuides@nsa.gov. Ha visszajelzést szeretne küldeni a Windows 2000 útmutatóiról, küldjön e-mailta w2kguides@nsa.gov.

Felhívjuk a figyelmét arra, hogy az NSA útmutatása megváltozott a cikk eredeti közzététele óta (2004. november 3.). Az NSA jelenlegi útmutatása hasonló vagy azonos a Microsoft által nyújtott útmutatással. A Microsoft által nyújtott útmutatásról a jelen cikk korábbi, "Microsoft Corporation" című szakaszában olvashat bővebben.

Biztonsági útmutatással kapcsolatos problémák

A cikkben korábban említettek szerint a jelen útmutatók némelyikében ismertetett magas szintű biztonsági szinteket úgy alakítottuk ki, hogy jelentősen korlátozzák a rendszerek működését. A korlátozás miatt a javaslatok telepítése előtt alaposan tesztelje a rendszert.

Megjegyzés: A SoHo, a Legacy és a Enterprise szinthez biztosított biztonsági útmutatás nem befolyásolja súlyosan a rendszer működését. Ez a Tudásbázis-cikk elsősorban a legmagasabb biztonsági szinthez tartozó útmutatásra összpontosít. 

Kifejezetten támogatjuk az iparági erőfeszítéseket, hogy biztonsági útmutatást nyújtsunk a magas szintű biztonsági területeken üzemelő telepítésekhez. A biztonsági szabványok csoportjaival folyamatosan dolgozunk a teljes körű tesztelésen áteső hasznos hardening-útmutatás kialakításán. A külső felektől származó biztonsági irányelveket mindig erős figyelmeztetések adták ki, amelyek teljes mértékben tesztelik az irányelveket a cél magas szintű biztonsági környezetekben. Ezeket a figyelmeztetéseket azonban nem mindig kell figyelmeztetni. Győződjön meg arról, hogy alaposan teszteli a célkörnyezet összes biztonsági konfigurációját. A javasolttól eltérő biztonsági beállítások érvényteleníthetnek az operációs rendszer tesztelési folyamatának részeként végrehajtott alkalmazáskompatibilitási tesztelést. Mi és harmadik felek kifejezetten ellenzi az útmutató-piszkozat élő éles környezetben való alkalmazását a tesztkörnyezet helyett.

A biztonsági útmutatók magas szintjei számos olyan beállítást tartalmaznak, amelyek implementálja őket, és ezeket gondosan ki kell értékelnie. Bár ezek a beállítások további biztonsági előnyöket is biztosítanak, a beállítások hátrányosan befolyásolhatjak a rendszer használhatóságát.

A fájlrendszer és a beállításjegyzék hozzáférés-vezérlési listájának módosításai

A Windows XP és a Windows újabb verziói jelentősen csökkentették az engedélyeket a teljes rendszerben. Ezért az alapértelmezett engedélyek jelentős módosításaira nincs szükség. 

A hozzáférés-vezérlési lista további diszkrecionális módosításai érvényteleníthetnek minden, a Microsoft által végrehajtott alkalmazáskompatibilitási tesztelést. Gyakran előfordul, hogy az ilyen módosítások nem esnek át a Microsoft által más beállításokon végzett alapos tesztelésen. A támogatási esetek és a mezőélmény azt mutatja, hogy a SZÖVEG.ISL-szerkesztések gyakran nem szándékolt módon megváltoztatják az operációs rendszer alapvető viselkedését. Ezek a módosítások hatással vannak az alkalmazás kompatibilitására és stabilitására, és csökkentik a működést, mind a teljesítményt, mind a képességeket figyelembe véve.

A változások miatt nem javasoljuk, hogy módosítsa a KÜLÖNL-eket az éles rendszerek operációs rendszeréhez mellékelt fájlokon. Azt javasoljuk, hogy az ismert fenyegetésekkel szemben értékelje ki az esetleges további ACL-módosításokat, hogy megértse az adott konfigurációnak nyújtott esetleges előnyöket. Ezen okokból az útmutatóink csak nagyon minimálisRA módosítják a TOTL-t, és csak a Windows 2000-et. Windows 2000 esetén néhány kisebb módosításra van szükség. Ezeket a módosításokat a Windows 2000 biztonsági útmutatója ismerteti.

A beállításjegyzékben és a fájlrendszerben propagált jelentős engedélyváltozások nem vonhatók vissza. Az új mappák, például az operációs rendszer eredeti telepítésében nem jelen lévő felhasználói profilmappák, hatással lehetnek erre. Ezért ha eltávolít egy OLYAN csoportházirend-beállítást, amely végrehajtja a SZÖVEG.KI2 módosításait, vagy alkalmazza a rendszer alapértelmezett beállítását, akkor nem tudja visszagördülni az eredeti. 

A TOL %SystemDrive% mappájában végrehajtott módosítások az alábbi eseteket okozhatják:

  • A Lomtár a továbbiakban nem a tervezett módon működik, és a fájlok nem állíthatók helyre.

  • A biztonság csökkentése, amely lehetővé teszi, hogy a rendszergazdák megtekintsék a rendszergazda lomtárának tartalmát.

  • A felhasználói profilok nem a várt módon működnek.

  • A biztonság csökkentése, amely olvasási hozzáférést biztosít az interaktív felhasználóknak a rendszer néhány vagy összes felhasználói profiljához.

  • Teljesítménnyel kapcsolatos problémák, amikor számos FAKT-módosítás betöltődik egy csoportházirend-objektumba, amely hosszú bejelentkezési időpontokat vagy a célrendszer ismételt újraindítását tartalmazza.

  • A rendszer 16 óránként vagy 16 óránként tapasztal teljesítményproblémákat, például a rendszer lassul.

  • Az alkalmazáskompatibilitási problémák vagy az alkalmazás összeomlik.

Az ilyen fájl- és beállításjegyzék-engedélyek legrosszabb eredményének eltávolítása érdekében a Microsoft kereskedelmileg ésszerű erőfeszítéseket tesz az Ön támogatási szerződésével összhangban. Jelenleg azonban nem lehet visszavetni ezeket a módosításokat. Csak azt tudjuk garantálni, hogy a merevlemez újraformálva és az operációs rendszer újratelepítésével vissza tud térni az ajánlott" beállításokhoz.

Például a BEÁLLÍTÁSJEGYZÉK.ISM-ek módosítása hatással van a beállításjegyzék-hivek nagy részeire, és a rendszereket a várttól különböző működést okozhat. Ha az egyes beállításkulcsok ESETÉN módosítja a KELLETI-eket, az kevesebb problémát jelent sok rendszerben. Azt javasoljuk azonban, hogy a változtatások végrehajtása előtt alaposan gondolja át és tesztelje a módosításokat. Ismét garantálhatjuk, hogy csak akkor térhet vissza az ajánlott" beállításokhoz, ha újraformálta és újratelepíti az operációs rendszert.

Microsoft hálózati ügyfélprogram: Kommunikáció digitális aláírása (mindig)

Ha engedélyezi ezt a beállítást, az ügyfeleknek alá kell írniuk a kiszolgálói üzenetblokkoló (SMB) forgalmat, amikor olyan kiszolgálókhoz lépnek, amelyekhez nincs szükség SMB-aláírásra. Ez sebezhetővé teszi az ügyfeleket a munkamenet-támadásokkal szemben. Jelentős értéket nyújt, de anélkül, hogy hasonló változást engedélyezne a kiszolgálón a Microsoft hálózati kiszolgálójának engedélyezéséhez: A kommunikáció digitális aláírásával (mindig) vagy a Microsoft hálózati ügyfélprogrammal: A kommunikáció digitális aláírásával (ha az ügyfél elfogadja)az ügyfél nem tud majd sikeresen kommunikálni a kiszolgálóval.

Hálózatbiztonság: Ne tárolja a LAN Manager-kivonat értékét a következő jelszó-módosításnál

Ha engedélyezi ezt a beállítást, a rendszer nem tárolja az új jelszó helyi hálózati kezelője által megadott kivonatértéket a jelszó módosításakor. A LM-kivonat viszonylag gyenge, és a titkosítási szempontból erősebb Microsoft Windows NT-kivonattal összehasonlítva támadásra van kivédve. Bár ez a beállítás jelentős további biztonságot nyújt a rendszereknek azáltal, hogy számos gyakori jelszó-megrepedő segédprogramot meggátol, a beállítás megakadályozhatja egyes alkalmazások megfelelő működését.

Rendszertitkosítás: FIPS-kompatibilis algoritmusok használata titkosításhoz, kivonatoláshoz és aláíráshoz

Ha engedélyezi ezt a beállítást, az Internet Information Services (IIS) és a Microsoft Internet Explorer csak a Transport Layer Security (TLS) 1.0 protokollt használja. Ha ez a beállítás engedélyezve van egy IIS-t futtató kiszolgálón, csak a TLS 1.0-t támogató webböngészők tudnak csatlakozni. Ha ez a beállítás engedélyezve van egy webes ügyfélen, az ügyfél csak a TLS 1.0 protokollt támogató kiszolgálókhoz tud csatlakozni. Ez a követelmény befolyásolhatja az ügyfél azon képességét, hogy olyan webhelyeket látogasson el, amelyek ssl-t használnak. További információért kattintson az alábbi cikkszámra a Microsoft Tudásbázisban található cikk megtekintéséhez:

811834 A FIPS-kompatibilis titkosítás engedélyezése után nem lehet SSL-webhelyeket felkeresni, ha pedig terminálszolgáltatásokat használó kiszolgálón engedélyezi ezt a beállítást, az ügyfelek az RDP-ügyfél 5.2-es vagy újabb verzióját használják a
csatlakozáshoz.

További információt a cikk Microsoft Tudásbázisban való megtekintéséhez kattintson a következő cikk számára:

811833 A "System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing" security setting in Windows XP and in later versions of Windows

Le van tiltva az automatikus frissítési szolgáltatás vagy a háttér intelligens átviteli szolgáltatása (BITS).

A Microsoft biztonsági stratégiájának egyik fő alappillére azért van szükség, hogy a rendszerek naprakészek maradnak a frissítésekről. A stratégia egyik fő összetevője az Automatikus frissítések szolgáltatás. A Windows Update és a Szoftverfrissítés szolgáltatás egyaránt az Automatikus frissítések szolgáltatást használja. Az Automatikus frissítések szolgáltatás a háttérben futó intelligens átviteli szolgáltatásra (BITS) támaszkodik. Ha ezek a szolgáltatások le vannak tiltva, a számítógépek a továbbiakban nem fognak tudni frissítéseket kapni a Windows Update szolgáltatásból az automatikus frissítéseken keresztül, a szoftverfrissítési szolgáltatásokból vagy a Microsoft Systems Management Server (SMS) egyes telepítéseiből. Ezeket a szolgáltatásokat csak olyan rendszereken tiltsa le, amelyek hatékony, BITS-t nem támaszkodó frissítési terjesztési rendszerrel rendelkezik.

A NetLogon szolgáltatás le van tiltva

Ha letiltja a NetLogon szolgáltatást, a munkaállomások már nem megbízhatóan használhatók tartománytagként. Ez a beállítás olyan számítógépek esetén lehet megfelelő, amelyek nem vesznek részt a tartományokban. A telepítés előtt azonban gondosan kell kiértékelni.

NoNameReleaseOnDemand

Ezzel a beállítással megakadályozhatja, hogy egy kiszolgáló leírja a NetSHS nevét, ha ütközik a hálózat egy másik számítógépével. Ez a beállítás jó megelőző lépés a névkiszolgálók és más nagyon fontos kiszolgálói szerepkörök ellen irányuló szolgáltatásmegtagadások esetén.

Ha munkaállomáson engedélyezi ezt a beállítást, a munkaállomás akkor is visszautasítja a NetSHS nevének igénylését, ha a név ütközik egy fontosabb rendszer, például egy tartományvezérlő nevével. Ebben az esetben letilthatja a fontos tartományfunkciók működését. A Microsoft kifejezetten támogatja az iparági erőfeszítéseket, hogy magas szintű biztonsági területeken található telepítésekkel kapcsolatos biztonsági útmutatást nyújtson. Ezt az útmutatót azonban alaposan meg kell vizsgálni a célkörnyezetben. Azt javasoljuk, hogy azok a rendszergazdák, akik az alapértelmezett beállításokon kívül további biztonsági beállításokat igényelnek, a Microsoft által kiadott útmutatókat használják kiindulási pontként a szervezetük követelményeinek megfelelően. Támogatásért vagy külső útmutatókkal kapcsolatos kérdésekért forduljon az útmutatót kibocsátó szervezethez.

Hivatkozások

A biztonsági beállításokról további információt a Veszélyforrások és a Veszélyforrások elleni védelem: Biztonsági beállítások a Windows Server 2003-ban és a Windows XP-ben. Az útmutató letöltéséhez látogasson el a Microsoft alábbi webhelyére:

http://go.microsoft.com/fwlink/?LinkId=15159Néhány további fontos biztonsági beállítás hatásával kapcsolatos további információkért kattintson a következő cikkszámra a Microsoft Tudásbázisban található cikk megtekintéséhez:

823659 A biztonsági beállítások és a felhasználói jogosultsági hozzárendelések módosításakor előforduló ügyfél-, szolgáltatás- és programkompatibilitásI információkért a FIPS-kompatibilis algoritmusok megkövetelését igénylő hatásokról az alábbi cikkszámra kattintva tekintse meg a cikket a Microsoft Tudásbázisban:

811833 A "System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing" security setting in Windows XP and later versionsMicrosoft provides third-party contact information to help you find technical support. Ezek a kapcsolattartási adatok értesítés nélkül megváltozhatnak. A Microsoft nem garantálja ezen külső felek kapcsolattartási információinak pontosságát.


A hardver gyártójával kapcsolatos információkért keresse fel a Microsoft következő webhelyét:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-mail

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×