Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Σύνοψη

Η Microsoft, το Κέντρο για την Ασφάλεια Internet (CIS), ο Εθνικός Οργανισμός Ασφαλείας (NSA), ο Οργανισμός συστημάτων πληροφοριών υπεράσπισης (DISA) και το Εθνικό Ίδρυμα προτύπων και τεχνολογίας (NIST) έχουν δημοσιεύσει "οδηγίες ρύθμισης παραμέτρων ασφαλείας" για τα Microsoft Windows.

Τα υψηλά επίπεδα ασφαλείας που καθορίζονται σε ορισμένους από αυτούς τους οδηγούς μπορεί να περιορίσουν σημαντικά τη λειτουργικότητα ενός συστήματος. Επομένως, θα πρέπει να εκτελέσετε σημαντικές δοκιμές πριν αναπτύξετε αυτές τις συστάσεις. Συνιστάται να πάρετε επιπλέον προφυλάξεις όταν κάνετε τα εξής:

  • Επεξεργασία λιστών ελέγχου πρόσβασης (ACL) για αρχεία και κλειδιά μητρώου

  • Ενεργοποίηση προγράμματος-πελάτη δικτύου της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα)

  • Ενεργοποίηση ασφάλειας δικτύου: Μην αποθηκεύετε την τιμή hash του LAN Manager κατά την επόμενη αλλαγή κωδικού πρόσβασης

  • Ενεργοποίηση κρυπτογράφησης συστήματος: Χρησιμοποιήστε αλγόριθμους συμβατούς με FIPS για κρυπτογράφηση, κατακερματισμούς και υπογραφές

  • Απενεργοποίηση της υπηρεσίας ή της υπηρεσίας Background Intelligent Transfer Service (BITS)

  • Απενεργοποίηση της υπηρεσίας NetLogon

  • Ενεργοποίηση NoNameReleaseOnDemand

Η Microsoft υποστηρίζει πλήρως τις προσπάθειες του κλάδου για την παροχή οδηγιών ασφαλείας για αναπτύξεις σε περιοχές υψηλής ασφάλειας. Ωστόσο, πρέπει να ελέγξετε λεπτομερώς τις οδηγίες στο περιβάλλον προορισμού. Εάν χρειάζεστε πρόσθετες ρυθμίσεις ασφαλείας πέρα από τις προεπιλεγμένες ρυθμίσεις, συνιστάται ιδιαίτερα να δείτε τους οδηγούς που εκδίδονται από τη Microsoft. Αυτοί οι οδηγοί μπορούν να εξυπηρετούν ως σημείο εκκίνησης για τις απαιτήσεις της εταιρείας σας. Για υποστήριξη ή για ερωτήσεις σχετικά με οδηγούς τρίτων κατασκευαστών, επικοινωνήστε με τον οργανισμό που έχει εκδώσει τις οδηγίες.

Εισαγωγή

Κατά τη διάρκεια των τελευταίων ετών, ένας αριθμός οργανισμών, συμπεριλαμβανομένης της Microsoft, του Κέντρου για την Ασφάλεια Internet (CIS), του National Security Agency (NSA), του Οργανισμού συστημάτων πληροφοριών υπεράσπισης (DISA) και του National Institute of Standards and Technology (NIST), έχουν δημοσιεύσει "οδηγίες ρύθμισης παραμέτρων ασφαλείας" για τα Windows. Όπως με όλες τις οδηγίες ασφαλείας, η πρόσθετη ασφάλεια που απαιτείται συχνά έχει αρνητική επίδραση στη χρηστικότητα.

Αρκετοί από αυτούς τους οδηγούς, συμπεριλαμβανομένων των οδηγών από τη Microsoft, από cis και από NIST, περιέχουν πολλά επίπεδα ρυθμίσεων ασφαλείας. Αυτοί οι οδηγοί μπορεί να περιλαμβάνουν επίπεδα που έχουν σχεδιαστεί για τα εξής:

  • Διαλειτουργικότητα με παλαιότερα λειτουργικά συστήματα

  • Εταιρικά περιβάλλοντα

  • Βελτιωμένη ασφάλεια που παρέχει περιορισμένη λειτουργικότητα Σημειώστε ότι αυτό το επίπεδο είναι συχνά γνωστό ως επίπεδο ειδικής

    ασφάλειας – περιορισμένης λειτουργικότητας ή επίπεδο υψηλής ασφάλειας.

Το επίπεδο "Υψηλή ασφάλεια" ή "Ειδική ασφάλεια - Περιορισμένη λειτουργικότητα", έχει σχεδιαστεί ειδικά για περιβάλλοντα με μεγάλη ασφάλεια κάτω από σημαντικό κίνδυνο επίθεσης. Αυτό το επίπεδο παρέχει πληροφορίες με την υψηλότερη δυνατή τιμή, όπως πληροφορίες που απαιτούνται από ορισμένα κυβερνητικά συστήματα. Το μεγαλύτερο μέρος αυτής της δημόσιας καθοδήγησης υψηλής ασφάλειας δεν είναι κατάλληλο για τα περισσότερα συστήματα που εκτελούν Windows. Συνιστάται να μην χρησιμοποιείτε το επίπεδο "Υψηλή ασφάλεια" σε σταθμούς εργασίας γενικής χρήσης. Συνιστάται να χρησιμοποιείτε το επίπεδο "Υψηλή ασφάλεια" μόνο σε συστήματα όπου οι συμβιβασμοί θα έχουν ως αποτέλεσμα την απώλεια ζωής, την απώλεια πολύ πολύτιμων πληροφοριών ή την απώλεια πολύ πολύτιμων χρημάτων.

Ορισμένες ομάδες εργάστηκαν με τη Microsoft για τη δημιουργία αυτών των οδηγών ασφαλείας. Σε πολλές περιπτώσεις, αυτοί οι οδηγοί απευθύνουν όλες τις παρόμοιες απειλές. Ωστόσο, κάθε οδηγός διαφέρει λίγο λόγω νομικών απαιτήσεων, τοπικών πολιτικών και λειτουργικών απαιτήσεων. Για τον σκοπό αυτό, οι ρυθμίσεις ενδέχεται να διαφέρουν από το ένα σύνολο προτάσεων στο επόμενο. Η ενότητα "Οργανισμοί που παράγουν δημόσια διαθέσιμες οδηγίες ασφαλείας" περιέχει μια σύνοψη για κάθε οδηγό ασφαλείας.

Περισσότερες πληροφορίες

Οργανισμοί που παράγουν δημόσια διαθέσιμες οδηγίες ασφαλείας

Microsoft Corporation

Η Microsoft παρέχει οδηγίες για το πώς να βοηθήσουμε στη διασφάλιση των δικών μας λειτουργικών συστημάτων. Έχουμε αναπτύξει τα ακόλουθα τρία επίπεδα ρυθμίσεων ασφαλείας:

  • Πρόγραμμα-πελάτης για μεγάλες επιχειρήσεις (EC)

  • Stand-Alone (SA)

  • Ειδική ασφάλεια – Περιορισμένη λειτουργικότητα (SSLF)

Δοκιμάσαμε λεπτομερώς αυτές τις οδηγίες χρήσης σε πολλά σενάρια πελατών. Οι οδηγίες είναι κατάλληλες για κάθε οργανισμό που θέλει να βοηθήσει στην ασφάλεια των υπολογιστών που βασίζονται σε Windows.

Υποστηρίζουμε πλήρως τους οδηγούς μας λόγω των εκτεταμένων δοκιμών που έχουμε κάνει στις δοκιμές συμβατότητας εφαρμογών σε αυτούς τους οδηγούς. Επισκεφθείτε τις ακόλουθες τοποθεσίες Web της Microsoft για να κάνετε λήψη των οδηγών μας:

Εάν αντιμετωπίζετε προβλήματα ή έχετε σχόλια μετά την υλοποίηση των Οδηγών ασφαλείας της Microsoft, μπορείτε να στείλετε τα σχόλιά σας στέλνοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη secwish@microsoft.com.



Οι οδηγίες ρύθμισης παραμέτρων ασφαλείας για το λειτουργικό σύστημα των Windows, τον Internet Explorer και την οικογένεια προγραμμάτων παραγωγικότητας του Office παρέχονται στη Διαχείριση συμμόρφωσης ασφαλείας της Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.


Το Κέντρο για την Ασφάλεια Στο Internet

Το CIS έχει αναπτύξει δείκτες απόδοσης για την παροχή πληροφοριών που βοηθούν τους οργανισμούς στη λήψη ενημερωμένων αποφάσεων σχετικά με συγκεκριμένες διαθέσιμες επιλογές ασφάλειας. Το CIS παρέχει τρία επίπεδα απόδοσης ασφαλείας:

  • Παλαιού τύπου

  • Μεγάλες επιχειρήσεις

  • Υψηλή ασφάλεια

Εάν αντιμετωπίζετε προβλήματα ή έχετε σχόλια αφού εφαρμόσετε τις ρυθμίσεις απόδοσης CIS, επικοινωνήστε με την CIS στέλνοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη win2k-feedback@cisecurity.org.

Σημειώστε ότι οι οδηγίες του CIS έχουν αλλάξει από τη δημοσίευση αυτού του άρθρου (3 Νοεμβρίου 2004). Οι τρέχουσες οδηγίες του CIS μοιάζουν με τις οδηγίες που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με τις οδηγίες που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Εθνικό Ίδρυμα προτύπων και τεχνολογίας

Η υπηρεσία NIST είναι υπεύθυνη για τη δημιουργία οδηγιών ασφαλείας για την Ομοσπονδιακή Κυβέρνηση των ΗΠΑ. Η υπηρεσία NIST έχει δημιουργήσει τέσσερα επίπεδα οδηγιών ασφαλείας που χρησιμοποιούνται από τις Ομοσπονδιακές υπηρεσίες των Ηνωμένων Πολιτειών, τις ιδιωτικές εταιρείες και τους δημόσιους οργανισμούς:

  • Σόχο

  • Παλαιού τύπου

  • Μεγάλες επιχειρήσεις

  • Ειδική ασφάλεια – Περιορισμένη λειτουργικότητα

Εάν αντιμετωπίζετε προβλήματα ή έχετε σχόλια μετά την υλοποίηση των προτύπων ασφαλείας NIST, επικοινωνήστε με την NIST στέλνοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη itsec@nist.gov.

Σημειώστε ότι οι οδηγίες του NIST έχουν αλλάξει από τη στιγμή που δημοσιεύετε αυτό το άρθρο αρχικά (3 Νοεμβρίου 2004). Οι τρέχουσες οδηγίες του NIST μοιάζουν με τις οδηγίες που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με τις οδηγίες που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Η Υπηρεσία συστημάτων πληροφοριών υπεράσπισης

Το DISA δημιουργεί οδηγίες ειδικά για χρήση στο Υπουργείο Υπεράσπισης των Ηνωμένων Πολιτειών (DOD). Οι χρήστες DOD των Ηνωμένων Πολιτειών που αντιμετωπίζετε προβλήματα ή έχουν σχόλια αφού εφαρμόσουν τις οδηγίες ρύθμισης παραμέτρων DISA μπορούν να παρέχουν σχόλια στέλνοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη fso_spt@ritchie.disa.mil.

Σημειώστε ότι οι οδηγίες του DISA έχουν αλλάξει από τη δημοσίευση αυτού του άρθρου (3 Νοεμβρίου 2004). Οι τρέχουσες οδηγίες του DISA είναι παρόμοιες ή πανομοιότυπες με τις οδηγίες που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με τις οδηγίες που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Η Εθνική Υπηρεσία Ασφαλείας (NSA)

Η NSA έχει παράγει καθοδήγηση για να βοηθήσει στην ασφάλεια υπολογιστών υψηλού κινδύνου στο Υπουργείο Υπεράσπισης των Ηνωμένων Πολιτειών (DOD). Η NSA έχει αναπτύξει ένα ενιαίο επίπεδο καθοδήγησης που αντιστοιχεί περίπου στο επίπεδο "Υψηλή ασφάλεια" που παράγεται από άλλους οργανισμούς.

Εάν αντιμετωπίζετε προβλήματα ή έχετε σχόλια μετά την υλοποίηση των Οδηγών ασφαλείας NSA για τα Windows XP, μπορείτε να στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη XPGuides@nsa.gov. Για να στείλετε σχόλια σχετικά με τους οδηγούς των Windows 2000, στείλτε ένα μήνυμα ηλεκτρονικού ταχυδρομείου w2kguides@nsa.gov.

Σημειώστε ότι οι οδηγίες της NSA έχουν αλλάξει από τη δημοσίευση αυτού του άρθρου (3 Νοεμβρίου 2004). Οι τρέχουσες οδηγίες της NSA είναι παρόμοιες ή πανομοιότυπες με τις οδηγίες που παρέχει η Microsoft. Για περισσότερες πληροφορίες σχετικά με τις οδηγίες που παρέχει η Microsoft, διαβάστε την ενότητα "Microsoft Corporation" παραπάνω σε αυτό το άρθρο.

Θέματα καθοδήγησης ασφαλείας

Όπως προαναφέρθηκε σε αυτό το άρθρο, τα υψηλά επίπεδα ασφαλείας που περιγράφονται σε ορισμένους από αυτούς τους οδηγούς έχουν σχεδιαστεί για να περιορίζουν σημαντικά τη λειτουργικότητα ενός συστήματος. Λόγω αυτού του περιορισμού, θα πρέπει να ελέγξετε λεπτομερώς ένα σύστημα πριν αναπτύξετε αυτές τις συστάσεις.

Σημειώστε ότι οι οδηγίες ασφαλείας που παρέχονται για τα επίπεδα SoHo, Legacy ή Enterprise δεν έχουν αναφερθεί για να επηρεάζουν σοβαρά τη λειτουργικότητα του συστήματος. Αυτό το άρθρο της Γνωσιακής βάσης εστιάζει κυρίως στις οδηγίες που σχετίζονται με το υψηλότερο επίπεδο ασφαλείας. 

Υποστηρίζουμε θερμά τις προσπάθειες του κλάδου για την παροχή οδηγιών ασφαλείας για αναπτύξεις σε περιοχές υψηλής ασφάλειας. Συνεχίζουμε να εργαστούμε με ομάδες προτύπων ασφαλείας για την ανάπτυξη χρήσιμων οδηγιών που έχουν ελεγχθεί πλήρως. Οι οδηγίες ασφαλείας από τρίτους εκδίδονται πάντα με ισχυρές προειδοποιήσεις για την πλήρη δοκιμή των οδηγιών σε περιβάλλοντα υψηλής ασφάλειας προορισμού. Ωστόσο, αυτές οι προειδοποιήσεις δεν eded always. Βεβαιωθείτε ότι έχετε δοκιμάσει προσεκτικά όλες τις ρυθμίσεις παραμέτρων ασφαλείας στο περιβάλλον προορισμού σας. Οι ρυθμίσεις ασφαλείας που διαφέρουν από εκείνες που συνιστάται ενδέχεται να ακυρίσουν τον έλεγχο συμβατότητας εφαρμογών που εκτελείται ως μέρος της διαδικασίας δοκιμής του λειτουργικού συστήματος. Επιπλέον, τόσο εμείς όσο και οι τρίτοι αποθαρρύνουμε ιδιαίτερα την εφαρμογή των πρόχειρων οδηγιών σε περιβάλλον ζωντανής παραγωγής αντί για ένα περιβάλλον δοκιμής.

Τα υψηλά επίπεδα αυτών των οδηγών ασφαλείας περιλαμβάνουν διάφορες ρυθμίσεις που θα πρέπει να αξιολογήσετε προσεκτικά πριν τους υλοποιήσετε. Παρόλο που αυτές οι ρυθμίσεις μπορεί να παρέχουν πρόσθετα πλεονεκτήματα ασφαλείας, οι ρυθμίσεις μπορεί να έχουν αρνητική επίδραση στη χρηστικότητα του συστήματος.

Τροποποιήσεις λίστας ελέγχου πρόσβασης συστήματος αρχείων και μητρώου

Τα Windows XP και οι νεότερες εκδόσεις των Windows έχουν μειώσει σημαντικά τα δικαιώματα σε όλο το σύστημα. Επομένως, δεν θα πρέπει να είναι απαραίτητες εκτεταμένες αλλαγές στα προεπιλεγμένα δικαιώματα. 

Πρόσθετες αλλαγές στη λίστα διακριτικών στοιχείων ελέγχου πρόσβασης (DACL) ενδέχεται να ακυρίσουν όλες ή τις περισσότερες από τις δοκιμές συμβατότητας εφαρμογών που εκτελούνται από τη Microsoft. Συχνά, αλλαγές όπως αυτές δεν έχουν υπονοηθεί για τις σχολαστικές δοκιμές που έχει πραγματοποιήσει η Microsoft σε άλλες ρυθμίσεις. Οι υποθέσεις υποστήριξης και η εμπειρία πεδίου έχουν δείξει ότι οι αλλαγές στο DACL αλλάζουν τη θεμελιώδη συμπεριφορά του λειτουργικού συστήματος, συχνά με ανεπιθύμητους τρόπους. Αυτές οι αλλαγές επηρεάζουν τη συμβατότητα και τη σταθερότητα των εφαρμογών και μειώνουν τη λειτουργικότητα, όσον αφορά τις επιδόσεις και τις δυνατότητες.

Λόγω αυτών των αλλαγών, δεν συνιστάται να τροποποιήσετε τις DACLs του συστήματος αρχείων σε αρχεία που περιλαμβάνονται στο λειτουργικό σύστημα σε συστήματα παραγωγής. Συνιστάται να αξιολογήσετε τυχόν πρόσθετες αλλαγές ACL σε σχέση με μια γνωστή απειλή, για να κατανοήσετε τα πιθανά πλεονεκτήματα που οι αλλαγές μπορεί να είναι δανεισμό σε μια συγκεκριμένη ρύθμιση παραμέτρων. Για αυτούς τους λόγους, οι οδηγοί μας κάνουν μόνο πολύ ελάχιστες αλλαγές DACL και μόνο στα Windows 2000. Για τα Windows 2000, απαιτούνται αρκετές μικρές αλλαγές. Αυτές οι αλλαγές περιγράφονται στον Οδηγό αναβάθμισης ασφαλείας των Windows 2000.

Δεν είναι δυνατή η αναίρεση εκτεταμένων αλλαγών δικαιωμάτων που μεταδίδονται σε ολόκληρο το μητρώο και το σύστημα αρχείων. Ενδέχεται να επηρεαστούν οι νέοι φάκελοι, όπως οι φάκελοι προφίλ χρηστών που δεν υπήρχαν στην αρχική εγκατάσταση του λειτουργικού συστήματος. Επομένως, εάν καταργήσετε μια ρύθμιση πολιτικής ομάδας που εκτελεί αλλαγές DACL ή εφαρμόσετε τις προεπιλογές συστήματος, δεν μπορείτε να επαναφέρετε τις αρχικές DACLs. 

Οι αλλαγές στο DACL στο φάκελο %SystemDrive% μπορεί να προκαλέσουν τα ακόλουθα σενάρια:

  • Ο Κάδος Ανακύκλωσης δεν λειτουργεί πλέον όπως έχει σχεδιαστεί και τα αρχεία δεν είναι δυνατό να ανακτηθούν.

  • Μια μείωση της ασφάλειας που επιτρέπει σε ένα μη διαχειριστή να δει τα περιεχόμενα του Κάδου Ανακύκλωσης του διαχειριστή.

  • Η αποτυχία των προφίλ χρηστών να λειτουργούν με τον αναμενόμενο τρόπο.

  • Μείωση της ασφάλειας που παρέχει στους αλληλεπιδραστικούς χρήστες πρόσβαση ανάγνωσης σε ορισμένα ή σε όλα τα προφίλ χρηστών στο σύστημα.

  • Προβλήματα επιδόσεων όταν πολλές αλλαγές DACL φορτώνονται σε ένα αντικείμενο πολιτικής ομάδας που περιλαμβάνει μεγάλες ώρες σύνδεσης ή επαναλαμβανόμενες επανεκκινήσεις του συστήματος προορισμού.

  • Προβλήματα επιδόσεων, όπως επιβράδυνση του συστήματος, κάθε 16 ώρες περίπου καθώς θα περιλαμβάνονται και οι ρυθμίσεις πολιτικής ομάδας.

  • Προβλήματα συμβατότητας εφαρμογών ή σφάλμα εφαρμογής.

Για να σας βοηθήσει να καταργήσετε τα χειρότερα αποτελέσματα από αυτά τα δικαιώματα αρχείων και μητρώου, η Microsoft θα παρέχει εμπορικά λογικές προσπάθειες σύμφωνα με τη σύμβαση υποστήριξής σας. Ωστόσο, αυτήν τη στιγμή δεν μπορείτε να επαναφέρετε αυτές τις αλλαγές. Μπορούμε να εγγυηθούμε μόνο ότι μπορείτε να επιστρέψετε στις προτεινόμενες out-of-box ρυθμίσεις, επαναμορφίζοντας τη μονάδα σκληρού δίσκου και επανεγκαθιστώντας το λειτουργικό σύστημα.

Για παράδειγμα, οι τροποποιήσεις στις DACLs του μητρώου επηρεάζουν μεγάλα τμήματα των τμημάτων του μητρώου και ενδέχεται να προκαλέσουν τη μη λειτουργία των συστημάτων πλέον όπως αναμένεται. Η τροποποίηση των DACLs σε μεμονωμένα κλειδιά μητρώου αποτελεί λιγότερο πρόβλημα για πολλά συστήματα. Ωστόσο, συνιστάται να εξετάσετε προσεκτικά αυτές τις αλλαγές και να τις ελέγξετε προτού τις εφαρμόσετε. Και πάλι, μπορούμε να εγγυηθούμε ότι μπορείτε να επιστρέψετε στις προτεινόμενες out-of-the-box ρυθμίσεις εάν αλλάξετε ξανά και εγκαταστήσετε ξανά το λειτουργικό σύστημα.

Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα)

Όταν ενεργοποιήσετε αυτήν τη ρύθμιση, τα προγράμματα-πελάτες πρέπει να υπογράφουν κίνηση Μπλοκ μηνυμάτων διακομιστή (SMB) όταν επικοινωνούν με διακομιστές που δεν απαιτούν υπογραφή SMB. Αυτό κάνει τους πελάτες λιγότερο ευάλωτους σε επιθέσεις περιόδου λειτουργίας. Παρέχει σημαντική τιμή, αλλά χωρίς να ενεργοποιηθεί μια παρόμοια αλλαγή στο διακομιστή για την ενεργοποίηση του διακομιστή δικτύου της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα) ή πρόγραμμα-πελάτης δικτύου της Microsoft:Ψηφιακή υπογραφή επικοινωνιών (εάν το πρόγραμμα-πελάτης συμφωνεί), το πρόγραμμα-πελάτης δεν θα μπορεί να επικοινωνήσει με επιτυχία με το διακομιστή.

Ασφάλεια δικτύου: Μην αποθηκεύετε την τιμή hash του LAN Manager κατά την επόμενη αλλαγή κωδικού πρόσβασης

Όταν ενεργοποιήσετε αυτήν τη ρύθμιση, η τιμή hash του LAN Manager (LM) για ένα νέο κωδικό πρόσβασης δεν θα αποθηκευτεί όταν αλλάξει ο κωδικός πρόσβασης. Ο hash LM είναι σχετικά αδύναμος και πιθανός να επιτευγθεί σε σύγκριση με τον κρυπτογραφικά ισχυρότερο hash των Microsoft Windows NT. Παρόλο που αυτή η ρύθμιση παρέχει εκτεταμένη πρόσθετη ασφάλεια σε ένα σύστημα, αποτρέποντας πολλά συνήθη βοηθητικά προγράμματα που ραγίζει τον κωδικό πρόσβασης, η ρύθμιση μπορεί να αποτρέψει τη σωστή εκκίνηση ή εκτέλεση ορισμένων εφαρμογών.

Κρυπτογράφηση συστήματος: Χρησιμοποιήστε αλγόριθμους συμβατούς με FIPS για κρυπτογράφηση, κατακερματισμούς και υπογραφές

Όταν ενεργοποιήσετε αυτή τη ρύθμιση, οι Υπηρεσίες internet Information Services (IIS) και ο Microsoft Internet Explorer χρησιμοποιούν μόνο το πρωτόκολλο Transport Layer Security (TLS) 1.0. Εάν αυτή η ρύθμιση είναι ενεργοποιημένη σε ένα διακομιστή που εκτελεί IIS, είναι δυνατή η σύνδεση μόνο στα προγράμματα περιήγησης Web που υποστηρίζουν TLS 1.0. Εάν αυτή η ρύθμιση είναι ενεργοποιημένη σε ένα πρόγραμμα-πελάτη Web, το πρόγραμμα-πελάτης μπορεί να συνδεθεί μόνο σε διακομιστές που υποστηρίζουν το πρωτόκολλο TLS 1.0. Αυτή η απαίτηση μπορεί να επηρεάσει τη δυνατότητα ενός υπολογιστή-πελάτη να επισκέπτεται τοποθεσίες Web που χρησιμοποιούν Secure Sockets Layer (SSL). Για περισσότερες πληροφορίες, κάντε κλικ στον παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

811834 Δεν είναι δυνατή η επίσκεψη τοποθεσιών SSL μετά την ενεργοποίηση κρυπτογράφησης συμβατή με FIPS Επιπλέον, όταν ενεργοποιείτε αυτή τη ρύθμιση σε ένα διακομιστή που χρησιμοποιεί υπηρεσίες terminal services, τα προγράμματα-πελάτες αναγκάζονται να χρησιμοποιήσουν το πρόγραμμα-πελάτη RDP 5.2 ή νεότερες εκδόσεις για να
συνδεθούν.

Για περισσότερες πληροφορίες, κάντε κλικ στον παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

811833 Τα αποτελέσματα της ενεργοποίησης της ρύθμισης ασφαλείας "Κρυπτογράφηση συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμού και υπογραφή" στα Windows XP και σε νεότερες εκδόσεις των Windows

Η υπηρεσία ή η Background Intelligent Transfer Service ενημέρωση (BITS) είναι απενεργοποιημένη

Ένας από τους βασικούς πυλώνες της στρατηγικής ασφαλείας της Microsoft είναι να βεβαιωθείτε ότι τα συστήματα διατηρούνται ενημερωμένα σε ενημερώσεις. Ένα βασικό στοιχείο αυτής της στρατηγικής είναι η υπηρεσία αυτόματων ενημερώσεων. Τόσο το Windows Update όσο και οι υπηρεσίες Software Update χρησιμοποιούν την υπηρεσία αυτόματων ενημερώσεων. Η υπηρεσία αυτόματων ενημερώσεων βασίζεται στη Background Intelligent Transfer Service (BITS). Εάν αυτές οι υπηρεσίες είναι απενεργοποιημένες, οι υπολογιστές δεν θα μπορούν πλέον να λαμβάνουν ενημερώσεις από το Windows Update μέσω αυτόματων ενημερώσεων, από υπηρεσίες ενημερώσεων λογισμικού (SUS) ή από ορισμένες εγκαταστάσεις του Microsoft Systems Management Server (SMS). Αυτές οι υπηρεσίες θα πρέπει να απενεργοποιηθούν μόνο σε συστήματα που διαθέτουν αποτελεσματικό σύστημα διανομής ενημερώσεων που δεν βασίζεται σε BITS.

Η υπηρεσία NetLogon είναι απενεργοποιημένη

Εάν απενεργοποιήσετε την υπηρεσία NetLogon, ένας σταθμός εργασίας δεν λειτουργεί πλέον αξιόπιστα ως μέλος τομέα. Αυτή η ρύθμιση μπορεί να είναι κατάλληλη για ορισμένους υπολογιστές που δεν συμμετέχουν σε τομείς. Ωστόσο, θα πρέπει να αξιολογείται προσεκτικά πριν από την ανάπτυξη.

NoNameReleaseOnDemand

Αυτή η ρύθμιση δεν επιτρέπει σε ένα διακομιστή να διανείμει το όνομα του NetBIOS, εάν έρχεται σε διένεξη με άλλον υπολογιστή στο δίκτυο. Αυτή η ρύθμιση αποτελεί ένα καλό προληπτικό μέτρο για επιθέσεις άρνησης υπηρεσίας κατά διακομιστών ονομάτων και άλλων πολύ σημαντικών ρόλων διακομιστή.

Όταν ενεργοποιείτε αυτήν τη ρύθμιση σε έναν σταθμό εργασίας, ο σταθμός εργασίας απορρίπτει την απόρριψη του ονόματος NetBIOS ακόμα και αν το όνομα έρχεται σε διένεξη με το όνομα ενός πιο σημαντικού συστήματος, όπως ενός ελεγκτή τομέα. Αυτό το σενάριο μπορεί να απενεργοποιήσει σημαντικές λειτουργίες τομέα. Η Microsoft υποστηρίζει πλήρως τις προσπάθειες του κλάδου για την παροχή οδηγιών ασφαλείας που στοχεύουν σε αναπτύξεις σε περιοχές υψηλής ασφάλειας. Ωστόσο, αυτές οι οδηγίες πρέπει να ελεγχθεί λεπτομερώς στο περιβάλλον προορισμού. Συνιστάται ιδιαίτερα οι διαχειριστές συστήματος που απαιτούν πρόσθετες ρυθμίσεις ασφαλείας πέρα από τις προεπιλεγμένες ρυθμίσεις να χρησιμοποιούν τους οδηγούς που εκδίδονται από τη Microsoft ως σημείο εκκίνησης για τις απαιτήσεις του οργανισμού τους. Για υποστήριξη ή για ερωτήσεις σχετικά με οδηγούς τρίτων κατασκευαστών, επικοινωνήστε με τον οργανισμό που έχει εκδώσει τις οδηγίες.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τις ρυθμίσεις ασφαλείας, ανατρέξτε στο θέμα "Απειλές και αντίμετροι": Ρυθμίσεις ασφαλείας στον Windows Server 2003 και τα Windows XP. Για να κάνετε λήψη αυτού του οδηγού, επισκεφθείτε την ακόλουθη τοποθεσία Web της Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Για περισσότερες πληροφορίες σχετικά με το αποτέλεσμα ορισμένων πρόσθετων ρυθμίσεων ασφαλείας κλειδιών, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

823659 Ασυμβατότητες προγραμμάτων-πελατών, υπηρεσιών και προγραμμάτων που ενδέχεται να προκύψουν όταν τροποποιείτε ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστηΓια περισσότερες πληροφορίες σχετικά με τα αποτελέσματα της απαίτησης αλγορίθμων συμβατών με FIPS, κάντε κλικ στον παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

811833 Τα αποτελέσματα της ενεργοποίησης της ρύθμισης ασφαλείας "Κρυπτογράφηση συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμού και υπογραφή" στα Windows XP και νεότερες εκδόσεις ΗMicrosoft παρέχει πληροφορίες επικοινωνίας με τρίτους για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια αυτών των πληροφοριών επικοινωνίας με άλλους κατασκευαστές.


Για πληροφορίες σχετικά με τον κατασκευαστή του υλικού σας, επισκεφθείτε την ακόλουθη τοποθεσία Web της Microsoft:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×