Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

"Microsoft", "Internet Security" centras (CIS), Nacionalinė saugumo agentūra (NSA), gynybos informacinių sistemų agentūra (DISA) ir nacionalinis standartų ir technologijų institutas (NIST) paskelbė "Microsoft Windows" saugos konfigūravimo gaires.

Kai kuriuose šiuose vadovuose nurodyti aukšti saugos lygiai gali gerokai apriboti sistemos funkcionalumą. Todėl prieš diegdami šias rekomendacijas turite atlikti reikšmingus testus. Rekomenduojame imtis papildomų atsargumo priemonių atliekant šiuos veiksmus:

  • Redaguoti prieigos valdymo sąrašus (ACL) failams ir registro raktams

  • "Microsoft" tinklo kliento įgalinimas: elektroniniu parašu pasirašyti pranešimai (visada)

  • Įgalinti tinklo saugą: NESAUGOKITE LAN Manager maišos reikšmės kitame slaptažodžio keitimo

  • Sistemos kriptografijos įgalinimas: naudokite FIPS suderinamas algoritmus šifravimui, maišymo ir pasirašymas

  • Išjungti automatinio naujinimo tarnybą arba fono intelektualiojo perdavimo tarnybą (BITS)

  • Išjungti tinklo registravimo tarnybą

  • Įgalinti Nonamereleasondemand

"Microsoft" tvirtai palaiko pramonės pastangas, kad būtų teikiamos saugos rekomendacijos dėl dislokavimo aukštoje saugumo srityje. Tačiau turite nuodugniai patikrinti nurodymus paskirties aplinkoje. Jei reikia papildomų saugos parametrų už numatytuosius parametrus, primygtinai rekomenduojame, kad pamatytumėte "Microsoft" išleistas gaires. Šie orientyrai gali būti naudojami kaip jūsų organizacijos reikalavimų atspirties taškas. Norėdami gauti pagalbos arba klausimų apie trečiųjų šalių vadovus, susisiekite su rekomendaciją išdavusią organizaciją.

Įvadas

Per pastaruosius kelerius metus daug organizacijų, įskaitant "Microsoft", interneto saugos centras (CIS), Nacionalinė saugumo agentūra (NSA), gynybos informacinių sistemų agentūra (DISA) ir nacionalinis standartų ir technologijų institutas (NIST), paskelbė "Windows" saugos konfigūravimo gaires. Kaip ir su visomis saugos gairėmis, papildomas reikalingas saugumas turi neigiamos įtakos praktiškumo poveikiui.

Kelios iš šių vadovų, įskaitant "Microsoft" vadovus, iš NVS ir nuo NIST, turi kelis saugos parametrų lygius. Šie orientyrai gali apimti lygius, skirtus šiems:

  • Suderinamumas su senesnėmis operacinėmis sistemomis

  • Įmonės aplinka

  • Patobulinta sauga, kuri teikia ribotas funkcijas

    Pastaba Šis lygis dažnai vadinamas specializuotu saugos – riboto funkcionalumo lygiu arba aukštu saugos lygiu.

Didelis saugumas, arba specializuotos saugos – ribotos funkcinės galimybės, lygis specialiai sukurtas labai priešiškoje aplinkoje esant didelei atakų rizikai. Šio lygio apsaugos informacija yra didžiausia galima reikšmė, pvz., informacija, kurios reikalauja kai kurios vyriausybės sistemos. Daugelis šios viešosios rekomendacijos saugos lygis netinka daugeliui sistemų, kuriose veikia "Windows". Rekomenduojame nenaudoti didelio saugos lygio bendrosiose paskirties darbo vietose. Rekomenduojame naudoti aukštą saugos lygį tik sistemose, kur kompromisas sukeltų gyvybės praradimą, labai vertingos informacijos praradimą arba daugybės pinigų praradimą.

Kelios grupės, kurios dirbo su "Microsoft", pateikia šiuos saugos vadovus. Daugeliu atvejų šie vadovai visi sprendžia panašias grėsmes. Tačiau kiekvienas vadovas šiek tiek skiriasi dėl teisinių reikalavimų, vietinės politikos ir funkcinių reikalavimų. Todėl parametrai gali skirtis nuo vieno rekomendacijų rinkinio iki paskesnio. Skyriuje "organizacijos, gaminančios viešai prieinamas saugos gaires", pateikiama kiekvieno saugos vadovo santrauka.

Daugiau informacijos

Organizacijos, gaminančios viešai prieinamas saugos gaires

"Microsoft Corporation"

"Microsoft" teikia patarimus, kaip apsaugoti savo operacines sistemas. Sukūrėme šiuos tris saugos parametrų lygius:

  • Įmonės klientas (EB)

  • Stand-Alone (SA)

  • Specializuota sauga – ribota funkcija (SSLF)

Mes nuodugniai išbandėme šias rekomendacijas naudoti daugelyje klientų scenarijų. Nurodymai tinka bet kuriai organizacijai, kuri nori padėti apsaugoti kompiuterius, kuriuose veikia "Windows".

Mes visiškai palaikome mūsų vadovus dėl išsamių bandymų, kuriuos atlikome mūsų taikomųjų programų suderinamumo laboratorijose. Apsilankykite šiose "Microsoft" svetainėse, kad atsisiųstumėte mūsų vadovus:

Jei jums kyla problemų arba turite komentarų įdiegę "Microsoft" saugos vadovus, galite pateikti atsiliepimą nusiųsdami el. laišką į " Secwish@microsoft.com".



"Windows" operacinės sistemos, "Internet Explorer" ir "Office" produktyvumo paketo saugos konfigūravimo gairės pateikiamos "Microsoft Security" atitikties tvarkytuvui: http://technet.Microsoft.com/en-us/library/cc677002.aspx.


Interneto saugumo centras

CIS parengė kriterijus, kad pateiktų informaciją, kuri padeda organizacijoms priimti kompetentingus sprendimus dėl tam tikrų galimų saugos pasirinkimų. CIS numatė tris saugos etalonų lygius:

  • Palikimas

  • Enterprise

  • Didelis saugumas

Jei jums kyla problemų arba turite komentarų įdiegę CIS Benchmark parametrus, kreipkitės į NVS siųsdami el. laišką į " Win2k-Feedback@cisecurity.org".

Pastaba CIS rekomendacijos pasikeitė, nes iš pradžių publikavote šį straipsnį (lapkričio 3 d., 2004). Dabartinės CIS rekomendacijos yra panašus į "Microsoft" pateiktų rekomendacijų. Daugiau informacijos apie "Microsoft" teikiamas gaires rasite anksčiau šiame straipsnyje esančiame skyriuje "Microsoft Corporation".

Nacionalinis standartų ir technologijų institutas

NIST yra atsakingas už Jungtinių Amerikos Valstijų federalinės vyriausybės saugumo rekomendacijų kūrimą. NIST sukūrė keturis saugos orientavimo lygius, kuriuos naudoja Jungtinių Amerikos Valstijų federalinės agentūros, privačios organizacijos ir viešosios organizacijos:

  • SoHo

  • Palikimas

  • Enterprise

  • Specializuota sauga – ribotas funkcionalumas

Jei susiduriate su problemomis arba turite komentarų po to, kai įgyvendinate NIST saugos šablonus, susisiekite su "NIST" nusiųsdami el. laišką į " ITSEC@nist.gov".

Pastaba NIST gairės pasikeitė, nes iš pradžių publikavote šį straipsnį (lapkričio 3 d., 2004). Dabartinės "NIST" nuorodos yra panašus į "Microsoft" pateiktų rekomendacijų. Daugiau informacijos apie "Microsoft" teikiamas gaires rasite anksčiau šiame straipsnyje esančiame skyriuje "Microsoft Corporation".

Gynybos informacinių sistemų agentūra

DISA sukuria gaires, skirtas naudoti Jungtinių Amerikos Valstijų gynybos departamente (DOD). JAV DOD vartotojai, kurie susiduria su problemomis arba turi komentarų po to, kai vykdo DISA konfigūravimo gaires, gali pateikti atsiliepimus nusiųsdami elektroninį laišką į fso_spt@ritchie.disa.mil.

Pastaba DISA gairės pasikeitė, nes iš pradžių publikavote šį straipsnį (lapkričio 3 d., 2004). Dabartinės DISA rekomendacijos yra panašios arba identiškos rekomendavimui, kurį teikia "Microsoft". Daugiau informacijos apie "Microsoft" teikiamas gaires rasite anksčiau šiame straipsnyje esančiame skyriuje "Microsoft Corporation".

Nacionalinė saugumo agentūra (NSA)

NSA parengė gaires, skirtas padėti apsaugoti didelės rizikos kompiuterius Jungtinių Amerikos Valstijų gynybos departamente (DOD). NSA sukūrė vieną rekomendacijų, kurios atitinka aukštą saugos lygį, kurį teikia kitos organizacijos, lygį.

Jei susiduriate su problemomis arba turite komentarų įdiegę "NSA" saugos vadovus, skirtus "Windows XP", galite pateikti atsiliepimų siųsdami el. laišką į " XPGuides@nsa.gov". Norėdami pateikti atsiliepimą apie "Windows" 2000 vadovus, siųskite el. laišką į " W2kguides@nsa.gov".

Pastaba: NSA gairės pasikeitė, nes iš pradžių publikavote šį straipsnį (lapkričio 3 d., 2004). NSA dabartinės gairės panašios arba identiškos "Microsoft" pateikiamai rekomendavimui. Daugiau informacijos apie "Microsoft" teikiamas gaires rasite anksčiau šiame straipsnyje esančiame skyriuje "Microsoft Corporation".

Saugos rekomendacijų klausimai

Kaip minėta anksčiau šiame straipsnyje, aukšti saugos lygiai, aprašyti kai kuriuose iš šių vadovų, buvo sukurti taip, kad ženkliai apribotų sistemos funkcionalumą. Dėl šio apribojimo turėtumėte nuodugniai patikrinti sistemą prieš diegdami šias rekomendacijas.

Pastaba saugos gairės, numatytos SoHo, senstelėjusiam arba įmonės lygiams, nebuvo praneštos rimtai įtakai sistemos funkcionalumą. Šis žinių bazės straipsnis pirmiausiai sutelktas į gaires, susijusias su aukščiausiu saugos lygiu. 

Labai stengiamės, kad pramonės pastangos būtų teikiamos saugumo rekomendacijos dėl dislokavimo aukštoje saugumo srityje. Mes ir toliau dirbame su saugos standartų grupėmis, siekdami sukurti naudingas grūdinimas gaires, kurios yra visiškai išbandytos. Saugos rekomendacijos iš trečiųjų šalių visada išduodamos su stipriais įspėjimais, kad būtų galima visiškai išbandyti gaires, skirtas aukštoms saugos aplinkoms. Tačiau šie įspėjimai ne visada paisoma. Įsitikinkite, kad kruopščiai tikrinate visas saugos konfigūracijas savo paskirties aplinkoje. Saugos parametrai, kurie skiriasi nuo tų, kuriuos rekomenduojame, gali anuliuoti taikomųjų programų suderinamumo tikrinimą, atliekamą kaip operacinės sistemos testavimo proceso dalis. Be to, mes ir trečiosios šalys specialiai neskatina taikyti gairių projekto "Live" gamybos aplinkoje, o ne testavimo aplinkoje.

Aukšti šių saugos vadovų lygiai apima kelis parametrus, kuriuos reikia atidžiai įvertinti prieš juos įgyvendinant. Nors šie parametrai gali suteikti papildomų saugos pranašumų, parametrai gali turėti neigiamos įtakos sistemos naudojimui.

Failų sistemos ir registro prieigos valdiklių sąrašo modifikavimas

"Windows XP" ir naujesnėse "Windows" versijose labai sugriežtintos teisės visoje sistemoje. Todėl neturėtų būti būtini išsamūs numatytųjų teisių pasikeitimai. 

Papildomi diskrecinio prieigos valdymo sąrašo (DACL) pokyčiai gali panaikinti visus arba daugumą programos suderinamumo bandymų, kuriuos atlieka "Microsoft". Dažnai tokie pokyčiai nebuvo atlikti atlikus išsamų patikrinimą, kurį "Microsoft" atliko kitais parametrais. Palaikymo atvejai ir lauko patirtimi parodė, kad "DACL" redagavimai keičia esminę operacinės sistemos elgseną, dažnai nenumatytais būdais. Šie keitimai turi įtakos taikomųjų programų suderinamumui ir stabilumui bei sumažina funkcionalumą, atsižvelgiant į našumą ir pajėgumą.

Dėl šių pasikeitimų nerekomenduojame modifikuoti failų sistemos "DACLs" failuose, kurie yra įtraukti su operacinės sistemos gamybos sistemomis. Rekomenduojame įvertinti papildomus ACL pokyčius prieš žinomą grėsmę, kad būtų galima suprasti bet kokius galimus pranašumus, kuriuos gali reikėti atlikti su konkrečia konfigūracija. Dėl šių priežasčių mūsų vadovai daro tik labai minimalius DACL pokyčius ir tik "Windows" 2000. Jei naudojate "Windows" 2000, reikia atlikti kelis nedidelius pakitimus. Šie pokyčiai aprašomi "Windows" 2000 saugos hardening vadove.

Negalima anuliuoti išsamių teisių pasikeitimų, kurie dauginami visame registre ir failų sistemoje. Gali būti paveikti nauji aplankai, pvz., vartotojo profilio aplankai, kurie nebuvo pateikti pradiniame operacinės sistemos diegime. Todėl jei pašalinsite grupės strategijos parametrą, kuris atlieka "DACL" keitimus, arba taikote sistemos numatytuosius parametrus, negalite atšaukti pradinių "DACLs". 

"DACL" keitimas aplanke% SystemDrive% gali sukelti šiuos scenarijus:

  • Šiukšlinė nebeveikia kaip sukurta ir failai negali būti atkurti.

  • Saugos sumažinimas, leidžiantis ne administratoriui Peržiūrėti administratoriaus šiukšlinės turinį.

  • Vartotojo profilių gedimas veiks taip, kaip tikėtasi.

  • Saugos sumažinimas, suteikiantis interaktyviųjų vartotojų skaitymo prieigą prie kai kurių arba visų sistemos vartotojų profilių.

  • Veikimo problemos, kai daugelis DACL redagavimų yra įkeliami į grupės strategijos objektą, kuriame yra ilgos įėjimo laikas arba pakartotinai paleidžiamas paskirties sistema.

  • Veikimo problemos, įskaitant sistemos slowdowns, kas 16 valandų arba taip, kaip grupės strategijos parametrai yra pakartotinai taikomi.

  • Taikomųjų programų suderinamumo problemos arba taikomoji programa sugenda.

Kad būtų lengviau pašalinti blogiausius tokių failų ir registro teisių rezultatus, "Microsoft" suteiks komerciškai pagrįstų pastangų pagal jūsų palaikymo sutartį. Tačiau šiuo metu negalite atšaukti šių keitimų. Mes galime garantuoti tik tai, kad galite grįžti prie rekomenduojamų "out-of-the-box" parametrų performatuodami standųjį diską ir iš naujo įdiegę operacinę sistemą.

Pvz., registro Dakls pakeitimai turi įtakos didelei registro avilių dalims ir gali sukelti sistemos nebeveikti kaip tikėtasi. "DACLs" modifikavimas viename registro raktuose kelia mažiau problemų daugeliui sistemų. Tačiau rekomenduojame atidžiai apsvarstyti ir išbandyti šiuos pokyčius prieš juos įgyvendinant. Vėlgi, mes galime garantuoti tik tai, kad galite grįžti į rekomenduojamus "out-of-the-box" parametrus, jei performatuojate ir iš naujo įdiegiate operacinę sistemą.

"Microsoft" tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada)

Kai įgalinate šį parametrą, klientai turi pasirašyti serverio pranešimų blokavimo (SMB) srautą, kai jie susisiekite su serveriais, kuriems nereikia SMB prisijungimo. Tai leidžia klientams, kurie yra mažiau jautrūs seanso vogimą atakų. Jame pateikiama reikšminga reikšmė, bet neįjungus panašaus keitimų serveryje, kad įgalintumėte "Microsoft" tinklo serverį: elektroniniu parašu pasirašyti pranešimai (visada) arba "Microsoft" tinklo klientas: elektroniniu parašu pasirašyti pranešimai (jei klientas sutinka), klientas negalės sėkmingai bendrauti su serveriu.

Tinklo sauga: nesaugokite LAN tvarkytuvo maišos reikšmės dėl paskesnio slaptažodžio keitimo

Įjungus šį parametrą, naujo slaptažodžio LAN tvarkytuvo (LM) maišos reikšmė nebus saugoma, kai pakeičiamas slaptažodis. LM hash yra santykinai silpnas ir linkęs atakuoti, palyginti su kriptografiškai stipresniu "Microsoft Windows NT" maiša. Nors šis parametras suteikia daug papildomų saugos sistemai, nes neleidžia daugeliui dažnai naudojamų slaptažodžių krekingo paslaugų, nustatymas gali neleisti kai kurioms programoms paleisti arba tinkamai veikti.

Sistemos kriptografija: naudoti FIPS suderinamas algoritmai šifravimui, maišymo ir pasirašymas

Įgalinus šį parametrą, interneto informacijos tarnybos (IIS) ir "Microsoft Internet Explorer" naudoja tik transportavimo lygmens saugos (TLS) 1,0 protokolą. Jei šis parametras įgalintas serveryje, kuriame veikia IIS, gali prisijungti tik žiniatinklio naršyklės, palaikančios TLS 1,0. Jei šis parametras įgalintas žiniatinklio kliente, klientas gali prisijungti tik prie serverių, palaikančių TLS 1,0 protokolą. Šis reikalavimas gali turėti įtakos kliento galimybėms lankytis žiniatinklio svetainėse, kuriose naudojami saugiųjų jungčių lygmuo (SSL). Jei reikia daugiau informacijos, spustelėkite toliau esantį straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

811834 Negalima aplankyti SSL svetainių po to, kai įgalinate FIPS kriptografijos funkciją
papildomai, kai įgalinsite šį parametrą serveryje, kuris naudoja terminalų tarnybas, Klientai yra priversti naudoti KPP kliento 5,2 arba vėlesnes versijas, kurias reikia prijungti.

Jei reikia daugiau informacijos, spustelėkite toliau esantį straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

811833 "Sistemos kriptografijos įgalinimas: naudoti FIPS suderinamas algoritmus šifravimui, maiša ir pasirašymas" saugos parametras "Windows XP" ir naujesnėse "Windows" versijose

Išjungta Automatinio naujinimo tarnyba arba fono intelektualiojo perdavimo tarnyba (BITS)

Vienas iš pagrindinių "Microsoft" saugos strategijos ramsčių – užtikrinti, kad sistemos būtų nuolat atnaujinamos. Pagrindinis šios strategijos komponentas yra automatinių naujinimų tarnyba. "Windows Update" ir programinės įrangos naujinimo tarnybos naudoja automatinių naujinimų tarnybą. Automatinių naujinimų tarnyba priklauso nuo fono intelektualiojo perdavimo tarnybos (BITS). Jei šios tarnybos išjungtos, kompiuteriai nebegalės gauti naujinimų iš "Windows Update" per automatinius naujinimus, programinės įrangos naujinimo tarnybas (SUS) arba iš kai kurių "Microsoft Systems" valdymo serverio (SMS) diegimų. Šios tarnybos turi būti išjungtos tik sistemose, kuriose yra efektyvi naujinimo platinimo sistema, kuri nesiremia BITAIS.

Išjungta "tinklo registravimo tarnyba"

Jei išjungsite tinklo registravimo tarnybą, darbo vieta nebeveikia patikimai kaip domeno narys. Šis parametras gali būti tinkamas kai kuriems kompiuteriams, kurie nedalyvauja domenuose. Tačiau jis turi būti atidžiai įvertintas prieš įdiegtį.

"Nonamerelease" paklausa

Šis parametras neleidžia serveriui atsisakyti jo NetBIOS vardo, jei jis prieštarauja kitam tinklo kompiuteriui. Šis parametras yra gera prevencinė priemonė, skirta aptarnavimo atakoms apsisaugoti nuo vardų serverių ir kitų labai svarbių serverio vaidmenų.

Kai įgalinate šį parametrą darbo vietoje, darbo vieta atsisako atsisakyti jo NetBIOS vardo, net jei pavadinimas prieštarauja svarbesnės sistemos, pvz., domeno valdiklio, pavadinimui. Šis scenarijus gali išjungti svarbius domenų funkcijas. "Microsoft" tvirtai palaiko pramonės pastangas pateikti saugumo gaires, skirtas dislokavimui aukštoje saugumo srityje. Tačiau šios rekomendacijos turi būti nuodugniai išbandytos paskirties aplinkoje. Primygtinai rekomenduojame, kad sistemos administratoriai, kuriems reikia papildomų saugos parametrų už numatytųjų parametrų ribų, naudotų "Microsoft" išleistas gaires kaip savo organizacijos reikalavimų atskaitos tašką. Norėdami gauti pagalbos arba klausimų apie trečiųjų šalių vadovus, susisiekite su rekomendaciją išdavusią organizaciją.

Nuorodos

Daugiau informacijos apie saugos parametrus ieškokite straipsnyje grėsmių ir atsakomųjų priemonių: saugos parametrai "Windows Server" 2003 ir "Windows XP". Norėdami atsisiųsti šį vadovą, apsilankykite šioje "Microsoft" svetainėje:

http://go.microsoft.com/fwlink/?LinkId=15159Daugiau informacijos apie kai kurių papildomų raktų saugos parametrų efektą rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

823659 Kliento, tarnybos ir programos nesuderinamumai, kurie gali atsirasti, kai modifikuosite saugos parametrus ir vartotojų teises perleidžiama daugiau informacijos apie tai, kokio poveikio reikia FIPS algoritmams, spustelėkite toliau esantį straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

811833 "Sistemos kriptografija: naudoti FIPS suderinamas algoritmus šifravimui, maišymo ir pasirašymas" saugos parametrą "Windows XP" ir vėlesnės versijos "Windows XP" ir vėlesnės versijos "Windows XP" ir vėlesnės versijos teikia trečiųjų šalių kontaktinę informaciją, kad būtų lengviau gauti techninės pagalbos. Ši kontaktinė informacija gali būti pakeista nepranešus. "Microsoft" negarantuoja šios trečiosios šalies kontaktinės informacijos tikslumo.


Informacijos apie aparatūros gamintoją rasite apsilankę šioje "Microsoft" svetainėje:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn Elektroninis paštas

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×