Kopsavilkums
Microsoft, interneta drošības centrs (CIS), valsts drošības aģentūra (NDA), Defense Information Systems Agency (DISA) un nacionālais standartu un tehnoloģiju institūts (NIST) ir publicējis Microsoft Windows drošības konfigurēšanas norādījumus.
Dažos Šajos ceļvežos noteiktais augstais drošības līmenis var ievērojami ierobežot sistēmas funkcionalitāti. Tāpēc pirms šo ieteikumu izvietošanas ir jāveic ievērojamas pārbaudes. Ieteicams veikt papildu piesardzības pasākumus, veicot tālāk norādītās darbības.-
Piekļuves vadības sarakstu (ACL) failu un reģistra atslēgu rediģēšana
-
Iespējot Microsoft tīkla klientu: saziņas ar ciparparakstu (vienmēr)
-
Iespējot tīkla drošību: nesaglabāt LAN pārvaldnieka jaukšanas vērtību nākamajā paroles izmaiņā
-
Iespējot sistēmas šifrēšanu: ar FIPS saderīgu algoritmu izmantošana šifrēšanai, jaukšanai un parakstīšanai
-
Atspējot automātisko atjaunināšanas pakalpojumu vai fona inteliģentās pārsūtīšanas pakalpojumu (BITS)
-
NETLOGON pakalpojuma atspējošana
-
Iespējot NoNameReleaseOnDemand
Microsoft stingri atbalsta nozares pasākumus, lai sniegtu drošības norādījumus par izvietojumiem augstās drošības jomās. Tomēr jums ir rūpīgi jāpārbauda norādījumi, kas jāizpilda mērķu vidē. Ja pēc noklusējuma iestatījumiem nepieciešami papildu drošības iestatījumi, iesakām skatīt Microsoft izsniegtos norādījumus. Šīs palīglīnijas var būt kā sākumpunkts savas organizācijas prasībām. Lai saņemtu atbalstu vai saņemtu jautājumus par trešo pušu rokasgrāmatām, sazinieties ar organizāciju, kas izsniedza norādījumus.
Ieviešanu
Vairāku pēdējo gadu laikā, piemēram, Microsoft, interneta drošības centra (CIS), nacionālās drošības aģentūras (NDA), Defense Information Systems Agency (DISA) un nacionālā standartu un tehnoloģijas institūta (NIST), ir publicētas "drošības konfigurācijas vadlīnijas" sistēmai Windows. Tāpat kā jebkurā drošības norādījumos, bieži nepieciešamajai papildu drošībai ir negatīva ietekme uz lietojamību.
Vairākās no šīm rokasgrāmatām, tostarp Microsoft, no NVS, un no NIST, ir vairāki drošības iestatījumu līmeņi. Šajos ceļvežos var būt ietverti līmeņi, kas paredzēti šādiem:-
Sadarbspēja ar vecākām operētājsistēmām
-
Uzņēmuma vide
-
Uzlabota drošība, kas nodrošina ierobežotu funkcionalitāti ievērojiet, ka
Šis līmenis tiek bieži dēvēts par specializēto drošību — ierobežotu funkcionalitāti vai augstu drošības līmeni.
Augsta drošība jeb specializētā drošība — ierobežota funkcionalitāte, līmenis ir īpaši paredzēts ļoti naidīgām vidēm, jo pastāv būtisks uzbrukuma risks. Šis līmenis aizsargā informāciju par augstāko iespējamo vērtību, piemēram, informāciju, kas ir nepieciešama dažās valsts sistēmās. Lielākajai daļai šo sabiedrisko norāžu drošības līmenis ir nepiemērots lielākajai daļai sistēmas, kurās darbojas operētājsistēma Windows. Iesakām nelietot augsto drošības līmeni universālajām darbstacijām. Iesakām izmantot augsto drošības līmeni tikai tajās sistēmās, kur kompromiss izraisītu dzīvības zaudējumu, ļoti vērtīgas informācijas zaudēšanu vai lielu naudas summu zaudēšanu.
Vairākas grupas strādāja kopā ar Microsoft, lai izveidotu šīs drošības rokasgrāmatas. Daudzos gadījumos šīs rokasgrāmatas visiem attiecas uz līdzīgiem draudiem. Tomēr katrs ceļvedis nedaudz atšķiras no tiesiskajām prasībām, lokālās politikas un funkcionālajām prasībām. Šī iemesla dēļ iestatījumi var atšķirties no vienas ieteikumu kopas uz nākamo. Sadaļā "organizācijas, kas piedāvā publiski pieejamus drošības norādījumus" ir iekļauts katras drošības rokasgrāmatas kopsavilkums.Papildinformācija
Organizācijas, kas sniedz publiski pieejamus drošības norādījumus
Microsoft Corporation
Microsoft sniedz norādījumus par to, kā nodrošināt savu operētājsistēmu drošību. Esam izveidojuši šādus trīs drošības iestatījumu līmeņus:
-
Uzņēmuma klients (EK)
-
Stand-Alone (SA)
-
Specializētā drošība — ierobežota funkcionalitāte (SSLF)
Mēs rūpīgi pārbaudījām šo vadlīniju izmantošanu daudzās klientu scenārijos. Vadlīnijas ir piemērotas jebkurai organizācijai, kas vēlas palīdzēt aizsargāt Windows datorus.
Mēs pilnībā atbalstām savus ceļvežus, jo ir veikta plašā pārbaude, ko esam veikuši mūsu lietojumprogrammas saderības laboratorijās šajās rokasgrāmatās. Apmeklējiet šīs Microsoft vietnes, lai lejupielādētu mūsu ceļvežus:-
Windows Vista drošības rokasgrāmata:
-
Windows XP drošības bāzlīnija:
-
Windows Server 2003 drošības bāzlīnija:
-
Windows 2000 drošības pastiprināšanas ceļvedis:
Ja rodas problēmas vai komentāri pēc Microsoft drošības palīglīniju ieviešanas, varat sniegt atsauksmes, nosūtot e-pasta ziņojumu uz secwish@microsoft.com. Drošības konfigurācijas norādījumi Windows operētājsistēmai Internet Explorer, kā arī Office produktivitātes komplektam ir nodrošināts Microsoft Security Compliance Manager: http://TechNet.Microsoft.com/en-us/library/cc677002.aspx.
Interneta drošības centrs
NVS ir izstrādāti kritēriji, lai nodrošinātu informāciju, kas organizācijām palīdz pieņemt informētus lēmumus par noteiktām pieejamām drošības iespējām. CIS ir nodrošinājis trīs līmeņu drošības kritērijus:
-
Mantotie
-
Enterprise
-
Augsta drošība
Ja rodas problēmas vai komentāri pēc CIS Benchmark iestatījumu ieviešanas, sazinieties ar CIS, nosūtot e-pasta ziņojumu uz Win2k-feedback@cisecurity.org. Piezīme. NVS norādījumi ir mainījušies kopš šī raksta sākotnējās publicēšanas (2004. gada 3. novembrī). CIS pašreizējās vadlīnijas atgādina Microsoft sniegtos norādījumus. Lai iegūtu papildinformāciju par Microsoft nodrošinātajām vadlīnijām, izlasiet šī raksta sadaļu "Microsoft Corporation".
Nacionālais standartu un tehnoloģiju institūts
NIST ir atbildīgs par drošības ieteikumu izveidi ASV federālajai valdībai. NIST ir izveidojis četrus drošības norāžu līmeņus, ko izmanto Amerikas Savienoto valstu federālās aģentūras, privātas organizācijas un publiskas organizācijas:
-
SoHo
-
Mantotie
-
Enterprise
-
Specializētā drošība — ierobežota funkcionalitāte
Ja rodas problēmas vai komentāri pēc NIST drošības veidņu ieviešanas, sazinieties ar NIST, nosūtot e-pasta ziņojumu uz ITSEC@nist.gov. Piezīme. pēc tam, kad mēs sākotnēji publicējām šo rakstu, ir mainījušās NIST vadlīnijas (2004. gada 3. novembrī). NIST pašreizējās vadlīnijas atgādina Microsoft sniegtos norādījumus. Lai iegūtu papildinformāciju par Microsoft nodrošinātajām vadlīnijām, izlasiet šī raksta sadaļu "Microsoft Corporation".
Defense Information Systems Agency
DISA izveido norādījumus, kas īpaši paredzēti lietošanai Amerikas Savienoto valstu aizsardzības ministrijā (DOD). Amerikas Savienotās valstis DOD lietotājiem, kuri sastopas ar problēmām vai komentāriem pēc tam, kad tie īsteno DISA konfigurācijas norādījumus, var sniegt atsauksmes, nosūtot e-pasta ziņojumu uz fso_spt@ritchie.disa.mil. Ņemiet vērā, ka DISA norādījumi ir mainījušies kopš šī raksta sākotnējās publicēšanas (3. novembrī, 2004). DISA pašreizējās vadlīnijas ir līdzīgas vai identiskas norādēm, ko nodrošina Microsoft. Lai iegūtu papildinformāciju par Microsoft nodrošinātajām vadlīnijām, izlasiet šī raksta sadaļu "Microsoft Corporation".
Valsts drošības iestāde (NDA)
NDA ir izstrādājusi norādījumus par augsta riska datoru drošību Amerikas Savienoto valstu aizsardzības ministrijā (DOD). NDA ir izstrādājusi vienotu ieteikumu līmeni, kas atbilst aptuveni augstam drošības līmenim, ko ražo citas organizācijas.XPGuides@nsa.gov. Lai reaģētu uz Windows 2000 palīglīnijām, nosūtiet e-pasta ziņojumu uz w2kguides@nsa.gov. Piezīme NDA norādījumi ir mainījušies kopš šī raksta sākotnējās publicēšanas (2004. gada 3. novembrī). NDA pašreizējās vadlīnijas ir līdzīgas vai identiskas vadlīnijām, ko nodrošina Microsoft. Lai iegūtu papildinformāciju par Microsoft nodrošinātajām vadlīnijām, izlasiet šī raksta sadaļu "Microsoft Corporation".
Ja rodas problēmas vai komentāri pēc tam, kad esat implementējis NDA drošības rokasgrāmatas sistēmai Windows XP, varat sniegt atsauksmes, nosūtot e-pasta ziņojumu uzDrošības norāžu problēmas
Kā minēts iepriekš šajā rakstā, dažās no šīm rokasgrāmatām aprakstītie augsta līmeņa drošības līmeņi ir paredzēti, lai ievērojami ierobežotu sistēmas funkcionalitāti. Šo ierobežojumu dēļ pirms šo ieteikumu izvietošanas ir rūpīgi jāpārbauda sistēma.
Piezīme nav ziņots par drošības vadlīnijām, kas paredzētas SoHo, Legacy vai Enterprise līmeņiem. Šajā zināšanu bāzes rakstā galvenā uzmanība ir pievērsta vadlīnijām, kas ir saistītas ar augstāko drošības līmeni. Mēs stingri atbalstām nozares pasākumus, lai nodrošinātu drošības norādījumus par izvietojumiem augstās drošības jomās. Mēs turpināsim darboties ar drošības standartu grupām, lai izstrādātu noderīgas nostiprināšanas norādījumus, kas ir pilnībā pārbaudīti. Trešo pušu drošības vadlīnijas vienmēr tiek izsniegtas ar stingriem brīdinājumiem, lai pilnībā pārbaudītu vadlīnijas, kas attiecas uz augstas drošības vides. Tomēr šiem brīdinājumiem ne vienmēr ir pievērsta uzmanība. Pārliecinieties, vai esat rūpīgi pārbaudījis visas drošības konfigurācijas jūsu mērķu vidē. Drošības iestatījumi, kas atšķiras no tiem, kas ir ieteikti, var padarīt nederīgu lietojumprogrammu saderības testēšanu, kas tiek veikta, veicot operētājsistēmas pārbaudes procesu. Turklāt mēs un trešās puses īpaši atturēs projektu vadlīniju izmantošanu tiešā ražošanas vidē, nevis testa vidē. Šo drošības palīglīniju augstākajos līmeņos ir vairāki iestatījumi, kas jums rūpīgi jāizvērtē pirms to ieviešanas. Lai gan šie iestatījumi var nodrošināt papildu drošības priekšrocības, iestatījumiem var būt negatīva ietekme uz sistēmas lietojamību.Failu sistēmas un reģistra piekļuves vadības saraksta modifikācijas
Windows XP un jaunākās Windows versijās visā sistēmā ir būtiski piestiprinājuši atļaujas. Tāpēc, ja nepieciešamas lielas noklusējuma atļauju izmaiņas, tās nav vajadzīgas.
Papildu diskrecionārās piekļuves vadības saraksta (DACL) izmaiņas var nevalidēt visas vai lielāko daļu no lietojumprogrammas saderības pārbaudes, ko veic Microsoft. Bieži veiktās izmaiņas, piemēram, šīs, nav izturējušas pilnīgu testēšanu, ko Microsoft ir veicis citos iestatījumos. Atbalsta lietas un lauku pieredze ir pierādījušas, ka DACL rediģēja bieži lietotās darbības. Šīs izmaiņas ietekmē lietojumprogrammu saderību un stabilitāti, kā arī funkciju samazināšanu attiecībā uz veiktspēju un spējām. Šo izmaiņu dēļ neiesakām modificēt failu sistēmas DACLs failos, kas ir iekļauti operētājsistēmas ražošanas sistēmās. Iesakām novērtēt jebkādas papildu ACL izmaiņas attiecībā pret zināmajiem draudiem, lai izprastu potenciālās priekšrocības, ko šīs izmaiņas var aizdot noteiktai konfigurācijai. Šo iemeslu dēļ mūsu palīglīnijas ir tikai ļoti minimālas DACL izmaiņas un tikai Windows 2000. Sistēmā Windows 2000 ir nepieciešamas vairākas nelielas izmaiņas. Šīs izmaiņas ir aprakstītas Windows 2000 drošības pastiprināšanas rokasgrāmatā. Plašas atļauju izmaiņas, kas tiek izplatītas visā reģistrā un failu sistēmā, nevar atsaukt. Var tikt ietekmētas jaunas mapes, piemēram, lietotāju profilu mapes, kas netika prezentētas operētājsistēmas sākotnējā versijā. Tāpēc, ja noņemat grupas politikas iestatījumu, kas veic DACL izmaiņas, vai lietojat sistēmas noklusējumus, jūs nevarat atritināt oriģinālo DACLs. Izmaiņas DACL% datu apakšmapēs var izraisīt šādus scenārijus:-
Atkritne vairs nefunkcionē kā paredzēts, un failus nevar atkopt.
-
Drošības samazināšana, kas no administratora sniedz iespēju skatīt administratora atkritnes saturu.
-
Lietotāja profilu neveiksmīga darbība, kā paredzēts.
-
Drošības samazināšana, kas nodrošina interaktīvus lietotājus ar lasīšanas piekļuvi dažiem vai visiem lietotāju profiliem sistēmā.
-
Veiktspējas problēmas, ja daudzi DACL labojumi tiek ielādēti grupas politikas objektā, kas ietver ilgu pieteikšanās laiku vai atkārtotas mērķa sistēmas restartēšanu.
-
Veiktspējas problēmas, ieskaitot sistēmas palēninājumu, ik pēc 16 stundām vai arī to, kā grupas politikas iestatījumi tiek piemēroti vēlreiz.
-
Lietojumprogrammu saderības problēmas vai lietojumprogrammas avarē.
Lai palīdzētu noņemt šo failu un reģistra atļauju vissliktākos rezultātus, korporācija Microsoft nodrošina komerciāli saprātīgas pūles atbilstoši jūsu atbalsta līgumam. Tomēr pašlaik nevar atritināt šīs izmaiņas. Mēs varam garantēt tikai to, ka jūs varat atgriezties pie ieteicamajiem iestatījumiem, atkārtoti formatējot cieto disku un atkārtoti instalējot operētājsistēmu.
Piemēram, izmaiņas reģistra DACLs ietekmē lielas reģistra stropu daļas un var izraisīt sistēmas vairs nedarbojas, kā paredzēts. Modificējot DACLs atsevišķas reģistra atslēgās, mazāk problēmu rada daudz sistēmu. Tomēr ieteicams rūpīgi apsvērt un testēt šīs izmaiņas pirms to ieviešanas. No jauna varam garantēt tikai to, ka varat atgriezties pie ieteicamajiem iestatījumiem, ja pārformatējat un pārinstalējat operētājsistēmu.Microsoft tīkla klients: elektroniski parakstīt sakarus (vienmēr)
Iespējojot šo iestatījumu, klientiem ir jāpierakstās servera ziņojumu bloķēšanas (SMB) trafiks, ja tie saskaras ar serveriem, kas neprasa SMB parakstīšanu. Tādējādi klienti ir mazāk aizsargāti pret sesijas nolaupīšanu uzbrukumiem. Tas nodrošina nozīmīgu vērtību, bet neiespējojot līdzīgas izmaiņas serverī, lai iespējotu Microsoft tīkla serveri: elektroniski parakstīt saziņu (vienmēr) vai Microsoft tīkla klientu: elektroniski parakstīt saziņas (ja klients piekrīt), klients nevarēs veiksmīgi sazināties ar serveri.
Tīkla drošība: nesaglabāt LAN pārvaldnieka jaukšanas vērtību nākamajā paroles izmaiņā
Iespējojot šo iestatījumu, lokālā tīkla pārvaldnieka (LM) jaukšanas vērtība jaunajai parolei netiks saglabāta, mainot paroli. LM hash ir samērā vāja un nosliece uz uzbrukumu, salīdzinot ar kriptogrāfiski spēcīgāku Microsoft Windows NT hash. Lai gan šis iestatījums nodrošina plašu papildu drošību sistēmai, novēršot daudzas biežāk sastopamās paroļu salaušanas utilītas, iestatījums var neļaut dažām lietojumprogrammām sākt vai pareizi darboties.
Sistēmas šifrēšana: ar FIPS saderīgu algoritmu izmantošana šifrēšanai, jaukšanai un parakstīšanai
Ja iespējosit šo iestatījumu, interneta informācijas pakalpojumi (IIS) un Microsoft Internet Explorer izmanto tikai transporta slāņa drošības (TLS) 1,0 protokolu. Ja šis iestatījums ir iespējots serverī, kurā darbojas IIS, var izveidot savienojumu tikai tīmekļa pārlūkprogrammas, kas atbalsta TLS 1,0. Ja šis iestatījums ir iespējots tīmekļa klientā, klients var izveidot savienojumu tikai ar serveriem, kas atbalsta TLS 1,0 protokolu. Šī prasība var ietekmēt klienta iespējas apmeklēt tīmekļa vietnes, kurās tiek izmantots drošligzdu slānis (SSL). Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura, lai skatītu Microsoft zināšanu bāzes rakstu:
811834 Nevar apmeklēt SSL vietnes pēc FIPS saderīgas šifrēšanas iespējošanas Turklāt, iespējojot šo iestatījumu serverī, kas izmanto termināļa pakalpojumus, klienti ir spiesti izmantot RDP klienta 5,2 vai jaunākās versijas, lai izveidotu savienojumu. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura, lai skatītu Microsoft zināšanu bāzes rakstu:
811833 Sistēmas kriptogrāfijas iespējošanas sekas: izmantojiet FIPS atbilstīgus algoritmus šifrēšanai, jaukšanai un parakstīšanai drošības iestatījumu sistēmā Windows XP un jaunākās Windows versijās
Automātiskās atjaunināšanas pakalpojums vai fona inteliģentās pārsūtīšanas pakalpojums (BITS) ir atspējots
Viens no Microsoft drošības stratēģijas galvenajiem pīlāriem ir nodrošināt, lai sistēmas tiktu atjauninātas uz atjauninājumiem. Atslēgas komponents šajā stratēģijā ir automātiskās atjaunināšanas pakalpojums. Windows atjaunināšanas un programmatūras atjaunināšanas pakalpojumi izmanto automātisko atjaunināšanas pakalpojumu. Automātiskās atjaunināšanas pakalpojums balstās uz fona inteliģentās pārsūtīšanas pakalpojumu (BITS). Ja šie pakalpojumi ir atspējoti, datori vairs nevarēs saņemt atjauninājumus no Windows Update, izmantojot automātiskos atjauninājumus, no programmatūras atjaunināšanas pakalpojumiem (SUS) vai dažu Microsoft Systems Management Server (SMS) instalāciju. Šie pakalpojumi ir jāatspējo tikai sistēmās, kurās ir efektīva atjaunināšanas sistēma, kas neizmanto BITUS.
NetLogon pakalpojums ir atspējots
Ja atspējojat pakalpojumu NetLogon, darbstaciju vairs neveic uzticami kā domēna dalībnieks. Šis iestatījums var būt piemērots dažiem datoriem, kuri nepiedalās domēnos. Tomēr tā ir rūpīgi jānovērtē pirms izvietošanas.
NoNameReleaseOnDemand
Šis iestatījums neļauj serverim noliegt tā NetBIOS nosaukumu, ja tas konfliktē ar citu datoru tīklā. Šis iestatījums ir labs preventīvs līdzeklis pakalpojumu uzbrukumu atteikšanai pret nosaukumu serveriem un citām ļoti svarīgām serveru lomām.
Ja iespējojat šo iestatījumu darbstacijā, darbstacija atsakās atteikties no tās NetBIOS nosaukuma pat tad, ja vārds ir pretrunā ar svarīgas sistēmas nosaukumu, piemēram, domēna kontrolleri. Šis scenārijs var atspējot svarīgu domēna funkcionalitāti. Microsoft stingri atbalsta nozares centienus nodrošināt drošības norādījumus, kas ir mērķēti uz izvietojumiem augstās drošības jomās. Tomēr šie norādījumi ir rūpīgi jāpārbauda mērķu vidē. Ir ļoti ieteicams, lai sistēmas administratori, kuriem nepieciešami papildu drošības iestatījumi, kas pārsniedz noklusējuma iestatījumus, izmanto Microsoft izsniegtos norādījumus, kā sākuma punktu savas organizācijas prasībām. Lai saņemtu atbalstu vai saņemtu jautājumus par trešo pušu rokasgrāmatām, sazinieties ar organizāciju, kas izsniedza norādījumus.Atsauces
Papildinformāciju par drošības iestatījumiem skatiet rakstā draudi un pretpasākumi: drošības iestatījumi sistēmā Windows Server 2003 un Windows XP. Lai lejupielādētu šo rokasgrāmatu, apmeklējiet šo Microsoft tīmekļa vietni:
http://go.microsoft.com/fwlink/?LinkId=15159Lai iegūtu papildinformāciju par dažu papildu atslēgas drošības iestatījumu ietekmi, noklikšķiniet uz šī raksta numura, lai skatītu Microsoft zināšanu bāzes rakstu:
823659 Klientu, pakalpojumu un programmu nesaderību, kas var rasties, ja modificējat drošības iestatījumus un lietotāju tiesības assignmentsFor papildinformāciju par to, kā izmantot FIPS atbilstošu algoritmu, noklikšķiniet uz šī raksta numura, lai skatītu Microsoft zināšanu bāzes rakstu:
811833 "Sistēmas kriptogrāfijas līdzekļa iespējošanas sekas: izmantojiet FIPS saderīgus algoritmus šifrēšanai, jaukšanai un parakstīšanai" drošības iestatījumu sistēmā Windows XP un jaunākās versionsMicrosoft nodrošina trešo pušu kontaktinformāciju, lai palīdzētu jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta, nebrīdinot. Microsoft negarantē šīs trešo personu kontaktinformācijas precizitāti. Lai iegūtu informāciju par savu aparatūras ražotāju, apmeklējiet šo Microsoft tīmekļa vietni: