Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riepilogo

Microsoft, il Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) e il National Institute of Standards and Technology (NIST) hanno pubblicato "linee guida per la configurazione della sicurezza" per Microsoft Windows.

I livelli di sicurezza elevati specificati in alcune di queste guide possono limitare in modo significativo le funzionalità di un sistema. È quindi consigliabile eseguire test significativi prima di distribuire questi suggerimenti. È consigliabile adottare altre precauzioni quando si eservino le operazioni seguenti:

  • Modificare gli elenchi di controllo di accesso per file e chiavi del Registro di sistema

  • Abilitare il client di rete Microsoft: firmare digitalmente le comunicazioni (sempre)

  • Abilitare la sicurezza di rete: non archiviare il valore hash di Gestione LAN alla successiva modifica della password

  • Abilitare la crittografia di sistema: usare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma

  • Disabilitare il servizio di aggiornamento automatico o il servizio di trasferimento intelligente in background (BITS)

  • Disabilitare il servizio NetLogon

  • Enable NoNameReleaseOnDemand

Microsoft supporta fermamente gli sforzi del settore per fornire indicazioni sulla sicurezza per le distribuzioni in aree di sicurezza elevata. Tuttavia, è necessario testare approfonditamente le indicazioni nell'ambiente di destinazione. Se sono necessarie altre impostazioni di sicurezza oltre a predefinite, è consigliabile visualizzare le guide rilasciate da Microsoft. Queste guide possono fungere da punto di partenza per le esigenze dell'organizzazione. Per assistenza o per domande sulle guide di terze parti, contattare l'organizzazione che ha rilasciato le indicazioni.

Introduzione

Negli ultimi anni diverse organizzazioni, tra cui Microsoft, il Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) e il National Institute of Standards and Technology (NIST), hanno pubblicato "linee guida per la configurazione della sicurezza" per Windows. Come per qualsiasi guida alla sicurezza, la sicurezza aggiuntiva richiesta spesso influisce negativamente sull'usabilità.

Molte di queste guide, incluse le guide di Microsoft, di CIS e di NIST, contengono più livelli di impostazioni di sicurezza. Queste guide possono includere livelli progettati per i seguenti elementi:

  • Interoperabilità con sistemi operativi precedenti

  • Ambienti aziendali

  • Sicurezza avanzata che fornisce funzionalità limitate Nota: questo livello è spesso noto come livello di sicurezza specializzata - funzionalità limitate o

    livello di sicurezza elevato.

Il livello Alto livello di sicurezza, o Sicurezza specializzata - Funzionalità limitate, è progettato appositamente per ambienti molto in rischio di attacco. Questo livello protegge le informazioni del più alto valore possibile, ad esempio le informazioni richieste da alcuni sistemi governativi. Il livello di sicurezza elevato della maggior parte di queste indicazioni pubbliche non è appropriato per la maggior parte dei sistemi che eseguono Windows. È consigliabile non usare il livello di sicurezza elevato nelle workstation di uso generale. È consigliabile usare il livello di sicurezza elevato solo nei sistemi in cui la compromissione potrebbe causare la perdita di dati, informazioni molto preziose o una perdita di denaro.

Diversi gruppi hanno collaborato con Microsoft per produrre queste guide alla sicurezza. In molti casi, queste guide indirizzano tutte le minacce simili. Tuttavia, ogni guida è leggermente diversa a causa di requisiti legali, criteri locali e requisiti funzionali. Per questo, le impostazioni possono variare da un set di suggerimenti al successivo. La sezione "Organizzazioni che producono indicazioni di sicurezza pubblicamente disponibili" contiene un riepilogo di ogni guida alla sicurezza.

Ulteriori informazioni

Organizzazioni che producono linee guida per la sicurezza disponibili pubblicamente

Microsoft Corporation

Microsoft fornisce indicazioni su come proteggere i propri sistemi operativi. Sono stati sviluppati i tre livelli di impostazioni di sicurezza seguenti:

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Sicurezza specializzata - Funzionalità limitate (SSLF)

Queste indicazioni sono stata completamente testate per l'uso in molti scenari dei clienti. Le indicazioni sono appropriate per tutte le organizzazioni che vogliono contribuire alla protezione dei computer basati su Windows.

Supportiamo appieno le nostre guide a causa dei numerosi test effettuati nei nostri laboratori sulla compatibilità delle applicazioni su tali guide. Visita i seguenti siti Web Microsoft per scaricare le nostre guide:

Se si verificano problemi o si hanno commenti dopo l'implementazione delle Guide alla sicurezza di Microsoft, è possibile inviare un feedback inviando un messaggio di posta elettronica secwish@microsoft.com.



Le istruzioni di configurazione della sicurezza per il sistema operativo Windows, Internet Explorer e per la famiglia di prodotti Office per la produttività sono disponibili in Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


Centro per la sicurezza di Internet

CIS ha sviluppato benchmark per fornire informazioni che consentono alle organizzazioni di prendere decisioni informate in merito a determinate scelte di sicurezza disponibili. CIS ha fornito tre livelli di benchmark di sicurezza:

  • Legacy

  • Enterprise

  • Alto livello di sicurezza

Se si verificano problemi o si hanno commenti dopo l'implementazione delle impostazioni del benchmark CIS, contattare CIS inviando un messaggio di posta elettronica win2k-feedback@cisecurity.org.

Le indicazioni di CIS sono cambiate rispetto alla pubblicazione originale di questo articolo (3 novembre 2004). Le linee guida correnti di CIS sono analoghe a quelle fornite da Microsoft. Per altre informazioni sulle indicazioni fornite da Microsoft, vedere la sezione "Microsoft Corporation" più indietro in questo articolo.

Il National Institute of Standards and Technology

NIST è responsabile della creazione di linee guida per la sicurezza per il Governo federale degli Stati Uniti. NIST ha creato quattro livelli di indicazioni sulla sicurezza usate da agenzie federali, organizzazioni private e organizzazioni pubbliche degli Stati Uniti:

  • SoHo

  • Legacy

  • Enterprise

  • Sicurezza specializzata - Funzionalità limitate

Se si verificano problemi o si hanno commenti dopo l'implementazione dei modelli di sicurezza NIST, contattare NIST inviando un messaggio di posta elettronica itsec@nist.gov.

Nota: le indicazioni di DICEMBRE sono cambiate rispetto alla pubblicazione originale di questo articolo (3 novembre 2004). Le indicazioni correnti di NIST sono analoghe a quelle fornite da Microsoft. Per altre informazioni sulle indicazioni fornite da Microsoft, vedere la sezione "Microsoft Corporation" più indietro in questo articolo.

The Defense Information Systems Agency

LA DISA crea indicazioni specifiche per l'uso nel Ministero della Difesa degli Stati Uniti. Gli utenti che hanno problemi o hanno commenti dopo l'implementazione delle istruzioni di configurazione DISA possono fornire feedback inviando un messaggio di posta elettronica fso_spt@ritchie.disa.mil.

Le indicazioni della diSA sono cambiate rispetto alla pubblicazione originale di questo articolo (3 novembre 2004). Le linee guida correnti della DISA sono simili o identiche a quelle fornite da Microsoft. Per altre informazioni sulle indicazioni fornite da Microsoft, vedere la sezione "Microsoft Corporation" più indietro in questo articolo.

National Security Agency (NSA)

La NSA ha creato linee guida per proteggere i computer ad alto rischio del Department of Defense (DOD) degli Stati Uniti. NSA ha sviluppato un unico livello di indicazioni che corrisponde approssimativamente al livello di sicurezza elevato prodotto da altre organizzazioni.

Se si verificano problemi o si hanno commenti dopo l'implementazione delle Guide alla sicurezza NSA per Windows XP, è possibile inviare un messaggio di posta elettronica a XPGuides@nsa.gov. Per inviare feedback sulle guide di Windows 2000, inviare un messaggio di posta elettronica w2kguides@nsa.gov.

Nota: le indicazioni dell'NSA sono cambiate rispetto alla pubblicazione originale di questo articolo (3 novembre 2004). Le linee guida correnti dell'NSA sono simili o identiche a quelle fornite da Microsoft. Per altre informazioni sulle indicazioni fornite da Microsoft, vedere la sezione "Microsoft Corporation" più indietro in questo articolo.

Problemi relativi alle indicazioni per la sicurezza

Come accennato in precedenza in questo articolo, i livelli di sicurezza elevati descritti in alcune di queste guide sono stati progettati per limitare in modo significativo le funzionalità di un sistema. A causa di questa restrizione, è consigliabile testare attentamente un sistema prima di distribuire questi suggerimenti.

Nota Le istruzioni per la sicurezza fornite per i livelli SoHo, Legacy o Enterprise non sono state segnalate per influire severamente sulle funzionalità del sistema. Questo articolo della Knowledge Base è incentrato sulle indicazioni associate al livello di sicurezza più alto. 

Supportiamo fermamente gli sforzi del settore per fornire indicazioni sulla sicurezza per le distribuzioni in aree ad alta sicurezza. Microsoft continua a lavorare con i gruppi di standard di sicurezza per sviluppare utili indicazioni per la protezione avanzata completamente testate. Le linee guida sulla sicurezza di terze parti vengono sempre emesse con avvisi forti per testare appieno le linee guida negli ambienti di alto livello di sicurezza. Tuttavia, questi avvisi non vengono sempre notificati. Assicurarsi di testare tutte le configurazioni di sicurezza nell'ambiente di destinazione. Le impostazioni di sicurezza diverse da quelle consigliate potrebbero invalidare i test di compatibilità delle applicazioni eseguiti durante il processo di test del sistema operativo. Inoltre, microsoft e terze parti sconsigliano specificamente di applicare la bozza di indicazioni in un ambiente di produzione in tempo reale anziché in un ambiente di test.

I livelli elevati di queste guide alla sicurezza includono diverse impostazioni da valutare con attenzione prima di implementarle. Anche se queste impostazioni possono offrire ulteriori vantaggi per la sicurezza, le impostazioni possono avere un effetto negativo sull'usabilità del sistema.

Modifiche agli elenchi di controllo di accesso del file system e del Registro di sistema

In Windows XP e versioni successive di Windows le autorizzazioni sono state notevolmente limitate in tutto il sistema. Pertanto, non è necessario apportare modifiche estese alle autorizzazioni predefinite. 

Le modifiche aggiuntive all'elenco di controllo di accesso (DACL) possono invalidare tutti o la maggior parte dei test di compatibilità delle applicazioni eseguiti da Microsoft. Spesso, modifiche come queste non sono state sottoposte a test approfonditi eseguiti da Microsoft su altre impostazioni. I casi di supporto e l'esperienza sul campo hanno dimostrato che le modifiche daCL modificano il comportamento fondamentale del sistema operativo, spesso in modi indesiderati. Queste modifiche influiscono sulla compatibilità e la stabilità delle applicazioni e sulla riduzione delle funzionalità, sia per quanto riguarda le prestazioni che le funzionalità.

Per queste modifiche, non è consigliabile modificare i file DACL del file system nei file inclusi con il sistema operativo nei sistemi di produzione. È consigliabile valutare eventuali altre modifiche dell'ACL rispetto a una minaccia nota per comprendere i potenziali vantaggi che le modifiche potrebbero prestare a una configurazione specifica. Per questi motivi, le guide apportano solo modifiche minime a DACL e solo a Windows 2000. Per Windows 2000 sono necessarie diverse modifiche secondarie. Queste modifiche sono descritte nella Guida alla sicurezza di Windows 2000.

Le modifiche estese alle autorizzazioni propagate in tutto il Registro di sistema e nel file system non possono essere annullate. Potrebbero essere interessate nuove cartelle, ad esempio le cartelle dei profili utente che non erano presenti nell'installazione originale del sistema operativo. Di conseguenza, se si rimuove un'impostazione di Criteri di gruppo che esegue le modifiche daCL o si applicano le impostazioni predefinite di sistema, non è possibile eseguire il rollback dei daCL originali. 

Le modifiche apportate al DACL nella cartella %SystemDrive% possono causare gli scenari seguenti:

  • Il Cestino non funziona più nel modo previsto e i file non possono essere recuperati.

  • Riduzione della sicurezza che consente a un utente non amministratore di visualizzare il contenuto del Cestino dell'amministratore.

  • Errore di funzionamento dei profili utente come previsto.

  • Una riduzione della sicurezza che offre agli utenti interattivi l'accesso in lettura ad alcuni o a tutti i profili utente nel sistema.

  • Problemi di prestazioni quando molte modifiche daCL vengono caricate in un oggetto Criteri di gruppo che include lunghi orari di accesso o riavvii ripetuti del sistema di destinazione.

  • Problemi di prestazioni, inclusi i rallentamenti del sistema, ogni 16 ore circa quando vengono riapplicate le impostazioni di Criteri di gruppo.

  • Problemi di compatibilità delle applicazioni o arresti anomali dell'applicazione.

Per consentire di rimuovere i risultati peggiori di tali autorizzazioni per file e Registro di sistema, Microsoft offrirà sforzi commercialmente ragionevoli in linea con il contratto di supporto dell'utente. Tuttavia, al momento non è possibile eseguire il rollback di queste modifiche. Microsoft garantisce che solo l'utente possa tornare alle impostazioni predefinite consigliate riformattando l'unità disco rigido e reinstallando il sistema operativo.

Ad esempio, le modifiche ai daCL del Registro di sistema interessano gran parte degli hivi del Registro di sistema e potrebbero causare il non funzionamento dei sistemi come previsto. La modifica dei daCL in singole chiavi del Registro di sistema pone meno problemi a molti sistemi. È tuttavia consigliabile valutare attentamente e testare queste modifiche prima di implementarle. Anche in questo caso, microsoft garantisce che solo l'utente possa tornare alle impostazioni predefinite consigliate se si riformatta e reinstalla il sistema operativo.

Client di rete Microsoft: firmare digitalmente le comunicazioni (sempre)

Quando si abilita questa impostazione, i client devono firmare il traffico SMB (Server Message Block) quando contattano server che non richiedono la firma SMB. In questo modo i client sono meno vulnerabili agli attacchi di protezione da sessione. Fornisce un valore significativo, ma senza abilitare una modifica simile sul server per abilitare il server di rete Microsoft: firmare digitalmente le comunicazioni (sempre) o il client di rete Microsoft: firmare digitalmente le comunicazioni (se il client lo accetta),il client non sarà in grado di comunicare correttamente con il server.

Sicurezza di rete: non archiviare il valore hash di Gestione LAN alla successiva modifica della password

Quando si abilita questa impostazione, il valore hash di LAN Manager (LM) per una nuova password non viene archiviato quando la password viene cambiata. L'hash di Gestione sicurezza dati (LM) è relativamente debole e inclini agli attacchi rispetto all'hash di crittografia microsoft Windows NT più potente. Benché questa impostazione garantisca un livello di sicurezza supplementare per un sistema impedendo molte utilità comuni di applicazione della password, può impedire l'avvio o l'esecuzione corretta di alcune applicazioni.

Crittografia di sistema: usare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma

Quando si abilita questa impostazione, Internet Information Services (IIS) e Microsoft Internet Explorer usano solo il protocollo Transport Layer Security (TLS) 1.0. Se questa impostazione è abilitata in un server che esegue IIS, solo i Web browser che supportano TLS 1.0 potranno connettersi. Se questa impostazione è abilitata in un client Web, il client può connettersi solo ai server che supportano il protocollo TLS 1.0. Questo requisito può influire sulla possibilità da parte del client di visitare siti Web che usano Secure Sockets Layer (SSL). Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

811834 Non è possibile visitare i siti SSL dopo aver abilitato la crittografia compatibile FIPS. Inoltre, quando si abilita questa impostazione in un server che usa Servizi terminal, i client sono obbligati a usare il
client RDP 5.2 o versioni successive per connettersi.

Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

811833 Effetti dell'abilitazione dell'impostazione di sicurezza "Crittografia di sistema: Usare algoritmi di conformità FIPS per crittografia, hashing e firma" in Windows XP e nelle versioni successive di Windows

Il servizio di aggiornamento automatico o il servizio BITS (Background Intelligent Transfer Service) è disabilitato

Uno dei principali pilastri della strategia di sicurezza di Microsoft è garantire che i sistemi siano sempre operativi sugli aggiornamenti. Un componente fondamentale di questa strategia è il servizio Aggiornamenti automatici. Entrambi i servizi Windows Update e Software Update usano il servizio Aggiornamenti automatici. Il servizio Aggiornamenti automatici si basa sul servizio BITS (Background Intelligent Transfer Service). Se questi servizi sono disabilitati, i computer non potranno più ricevere gli aggiornamenti da Windows Update tramite Aggiornamenti automatici, dai servizi Di aggiornamento software (SUS) o da alcune installazioni di Microsoft Systems Management Server (SMS). Questi servizi devono essere disabilitati solo nei sistemi che dispongono di un sistema di distribuzione degli aggiornamenti efficace che non si basa su BITS.

Il servizio NetLogon è disabilitato

Se si disabilita il servizio NetLogon, una workstation non funziona più in modo affidabile come membro di dominio. Questa impostazione potrebbe essere appropriata per alcuni computer che non partecipano ai domini. Tuttavia, deve essere valutata con attenzione prima della distribuzione.

NoNameReleaseOnDemand

Questa impostazione impedisce a un server di recisciso il nome Net PIÙ.SE è in conflitto con un altro computer della rete. Questa impostazione è una buona misura preventiva per gli attacchi Denial of Service ai server dei nomi e ad altri ruoli server molto importanti.

Quando si abilita questa impostazione in una workstation, la workstation si rifiuta di modificare il nome Net WORKSTATION anche se il nome è in conflitto con il nome di un sistema più importante, ad esempio un controller di dominio. Questo scenario può disabilitare funzionalità importanti per i domini. Microsoft supporta fermamente gli sforzi del settore per fornire indicazioni sulla sicurezza mirate alle distribuzioni in aree di sicurezza elevata. Tuttavia, queste indicazioni devono essere testate approfonditamente nell'ambiente di destinazione. È consigliabile che gli amministratori di sistema che necessitano di impostazioni di sicurezza aggiuntive oltre alle impostazioni predefinite usino le guide rilasciate da Microsoft come punto di partenza per i requisiti dell'organizzazione. Per assistenza o per domande sulle guide di terze parti, contattare l'organizzazione che ha rilasciato le indicazioni.

Riferimenti

Per altre informazioni sulle impostazioni di sicurezza, vedere Minacce e contromisure: Impostazioni di sicurezza in Windows Server 2003 e Windows XP. Per scaricare questa guida, visitare il seguente sito Web Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Per altre informazioni sugli effetti di alcune altre impostazioni di sicurezza della chiave, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

823659 Incompatibilità di client, servizi e programmi che possono verificarsi quando si modificano le impostazioni di sicurezza e le assegnazioni di diritti utentePer altre informazioni sugli effetti della richiesta di algoritmi di conformità FIPS, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

811833 Effetti dell'abilitazione dell'impostazione di sicurezza "Crittografia di sistema: usare algoritmi di conformità FIPS per crittografia, hashing e firma" in Windows XP e versioni successiveMicrosoft fornisce informazioni di contatto di terze parti per trovare il supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non si assume alcuna responsabilità in relazione all'accuratezza delle informazioni di contatto di terze parti.


Per informazioni sul produttore dell'hardware, visitare il seguente sito Web Microsoft:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn Posta elettronica

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×