Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Microsoft, het Center for Internet Security (CIS), de National Security Agency (NSA), de Defense Information Systems Agency (DISA), en het National Institute of Standards and Technology (NIST) hebben 'security configuration guidance' voor Microsoft Windows gepubliceerd.

Door de hoge beveiligingsniveaus die in sommige van deze handleidingen zijn opgegeven, kan de functionaliteit van een systeem aanzienlijk worden beperkt. Daarom moet u belangrijke tests uitvoeren voordat u deze aanbevelingen implementeert. U wordt aangeraden extra voorzorgsmaatregelen te treffen wanneer u het volgende doet:

  • Toegangsbeheerlijsten (ACL's) voor bestanden en registersleutels bewerken

  • Microsoft-netwerkclient inschakelen: communicatie digitaal ondertekenen (altijd)

  • Netwerkbeveiliging inschakelen: Sla geen LAN Manager-hashwaarde op bij de volgende wijziging van het wachtwoord

  • Systeemcryptografie inschakelen: gebruik compatibele FIPS-algoritmen voor versleuteling, hashing en ondertekening

  • Automatic Update service of Background Intelligent Transfer Service (BITS) uitschakelen

  • NetLogon-service uitschakelen

  • NoNameReleaseOnDemand inschakelen

Microsoft biedt sterk ondersteuning voor branche-inspanningen om beveiligingsinlichtingen te bieden voor implementaties op hoog beveiligingsgebieden. U moet de richtlijnen in de doelomgeving echter grondig testen. Als u meer beveiligingsinstellingen nodig hebt dan de standaardinstellingen, wordt u ten zeerste aangeraden de door Microsoft uitgegeven handleidingen te zien. Deze handleidingen kunnen fungeren als uitgangspunt voor de behoeften van uw organisatie. Neem contact op met de organisatie die de richtlijnen heeft uitgegeven voor ondersteuning of vragen over handleidingen van derden.

Inleiding

In de afgelopen jaren hebben een aantal organisaties, waaronder Microsoft, het Center for Internet Security (CIS), de National Security Agency (NSA), de Defense Information Systems Agency (DISA) en het National Institute of Standards and Technology (NIST), 'security configuration guidance' voor Windows gepubliceerd. Net als bij elke beveiligingsadvies, heeft de aanvullende beveiliging die vaak vereist is, een nadelig effect op de bruikbaarheid.

Verschillende van deze handleidingen, waaronder de handleidingen van Microsoft, van CIS en NIST, bevatten meerdere niveaus met beveiligingsinstellingen. Deze handleidingen kunnen niveaus bevatten die zijn ontworpen voor de volgende producten:

  • Interoperabiliteit met oudere besturingssystemen

  • Bedrijfsomgevingen

  • Verbeterde beveiliging met beperkte functionaliteit Opmerking Dit niveau wordt ook wel bekend als Gespecialiseerde beveiliging: het niveau beperkte functionaliteit

    of het niveau van hoge beveiliging.

Het niveau Hoge beveiliging of Gespecialiseerde beveiliging - Beperkte functionaliteit is speciaal ontworpen voor zeer goed ontworpen omgevingen die een aanzienlijke aanvalsrisico vormen. Dit niveau van informatie over de hoogst mogelijke waarde, zoals informatie die voor sommige overheidssystemen vereist is. Het hoge beveiligingsniveau van de meeste van deze openbare richtlijnen is ongepast voor de meeste systemen met Windows. Het is raadzaam het hoge beveiligingsniveau niet te gebruiken op werkstations voor algemene doeleinden. U wordt aangeraden het hoge beveiligingsniveau alleen te gebruiken op systemen waarop een compromis het verlies van leven, het verlies van zeer waardevolle gegevens of het verlies van veel geld kan veroorzaken.

Verschillende groepen werkten samen met Microsoft om deze beveiligingshandleidingen te maken. In veel gevallen worden deze handleidingen gebruikt om soortgelijke bedreigingen op te pakken. Elke handleiding verschilt echter enigszins vanwege wettelijke vereisten, lokaal beleid en functionele vereisten. Daarom kunnen de instellingen variëren van de ene set aanbevelingen tot de volgende. De sectie 'Organisaties die openbaar beschikbare beveiligingsgidsen maken' bevat een overzicht van elke beveiligingshandleiding.

Meer informatie

Organisaties die openbaar beschikbare beveiligingsadviezen produceren

Microsoft Corporation

Microsoft biedt richtlijnen voor het beveiligen van onze eigen besturingssystemen. We hebben de volgende drie beveiligingsniveaus ontwikkeld:

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Gespecialiseerde beveiliging: beperkte functionaliteit (SSLF)

We hebben deze richtlijnen grondig getest voor gebruik in veel klantscenario's. Deze richtlijnen zijn geschikt voor elke organisatie die wil helpen bij het beveiligen van de Windows-computers.

We ondersteunen onze handleidingen volledig vanwege de uitgebreide tests die we hebben uitgevoerd in onze toepassingscompatibiliteit in deze handleidingen. Ga naar de volgende Microsoft-websites om onze handleidingen te downloaden:

Als u problemen ervaart of opmerkingen hebt nadat u de Microsoft-beveiligingshandleidingen hebt geïmplementeerd, kunt u feedback geven door een e-mailbericht naar uw secwish@microsoft.com.



Richtlijnen voor beveiligingsconfiguratie voor het Windows-besturingssysteem voor Internet Explorer en voor de Office-productiviteitssuite zijn beschikbaar in Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


Het Center for Internet Security

CIS heeft benchmarks ontwikkeld om organisaties te helpen goed geïnformeerd beslissingen te nemen over bepaalde beschikbare beveiligingskeuzen. CIS heeft drie niveaus van beveiligingsbe benchmarks verstrekt:

  • Verouderd

  • Enterprise

  • Hoge beveiliging

Als u problemen ervaart of opmerkingen hebt nadat u de CIS-benchmarkinstellingen hebt geïmplementeerd, kunt u contact opnemen met CIS door een e-mailberichtnaar deze win2k-feedback@cisecurity.org.

De richtlijnen voor CIS zijn gewijzigd sinds we dit artikel hebben gepubliceerd (3 november 2004). De huidige richtlijnen van CIS lijken op de richtlijnen die Microsoft biedt. Lees de sectie 'Microsoft Corporation' eerder in dit artikel voor meer informatie over de richtlijnen die Microsoft biedt.

Het National Institute of Standards and Technology

NIST is verantwoordelijk voor het opstellen van beveiligingsadviezen voor de Amerikaanse federale overheid. NIST heeft vier niveaus met beveiligingsadviezen gemaakt die worden gebruikt door de Amerikaanse federale instanties, privé-organisaties en openbare organisaties:

  • SoHo

  • Verouderd

  • Enterprise

  • Gespecialiseerde beveiliging : beperkte functionaliteit

Als u problemen ervaart of opmerkingen hebt nadat u de NIST-beveiligingssjablonen hebt geïmplementeerd, neem dan contact op met NIST door een e-mailbericht naar uw itsec@nist.gov.

De richtlijnen voor NIST zijn gewijzigd sinds we dit artikel hebben gepubliceerd (3 november 2004). De huidige richtlijnen van NIST lijken op de richtlijnen die Microsoft biedt. Lees de sectie 'Microsoft Corporation' eerder in dit artikel voor meer informatie over de richtlijnen die Microsoft biedt.

De Defense Information Systems Agency

MET DISA worden richtlijnen gemaakt voor gebruik bij het Amerikaanse ministerie van Verdediging (DOD). Gebruikers van een dod in de Verenigde Staten die problemen ervaren of opmerkingen hebben nadat ze de configuratie-richtlijnen voor DISA hebben geïmplementeerd, kunnen feedback geven door een e-mailbericht naar deze gebruikers fso_spt@ritchie.disa.mil.

De richtlijnen voor DISA zijn gewijzigd sinds we dit artikel hebben gepubliceerd (3 november 2004). De huidige richtlijnen van DISA zijn vergelijkbaar met of gelijk aan de richtlijnen die Microsoft biedt. Lees de sectie 'Microsoft Corporation' eerder in dit artikel voor meer informatie over de richtlijnen die Microsoft biedt.

De National Security Agency (NSA)

NSA heeft richtlijnen opgesteld voor het beveiligen van computers met een hoog risico in het Amerikaanse ministerie van Defensie. NSA heeft één niveau van richtlijnen ontwikkeld dat ongeveer overeenkomt met het niveau van hoge beveiliging dat wordt geproduceerd door andere organisaties.

Als u problemen ervaart of opmerkingen hebt nadat u de NSA-beveiligingshandleidingen voor Windows XP hebt geïmplementeerd, kunt u feedback geven door een e-mailbericht naar deze XPGuides@nsa.gov. Als u feedback wilt geven over de Windows 2000-handleidingen, stuurt u een e-mailbericht naar w2kguides@nsa.gov.

De richtlijnen van de NSA zijn gewijzigd sinds we dit artikel hebben gepubliceerd (3 november 2004). De huidige richtlijnen van de NSA lijken op of zijn identiek aan de richtlijnen die Microsoft verstrekt. Lees de sectie 'Microsoft Corporation' eerder in dit artikel voor meer informatie over de richtlijnen die Microsoft biedt.

Problemen met beveiligingsadviezen

Zoals eerder in dit artikel is beschreven, zijn de beveiligingsniveaus die in sommige van deze handleidingen worden beschreven, ontworpen om de functionaliteit van een systeem aanzienlijk te beperken. Vanwege deze beperking moet u een systeem grondig testen voordat u deze aanbevelingen implementeert.

Houd er rekening mee dat de beveiligingsadviezen voor het niveau SoHo, Legacy of Enterprise niet zijn gerapporteerd om de systeemfunctionaliteit ernstig te beïnvloeden. Dit Knowledge Base-artikel is voornamelijk gericht op de richtlijnen die bij het hoogste beveiligingsniveau horen. 

We ondersteunen branche-inspanningen ten zeerste om beveiligingsinststeun te bieden voor implementaties op hoog beveiligingsgebieden. We blijven werken met groepen beveiligingsstandaarden om nuttige, hardings richtlijnen te ontwikkelen die volledig zijn getest. Beveiligingsrichtlijnen van derden worden altijd met sterke waarschuwingen uitgegeven voor het volledig testen van de richtlijnen in doelomgevingen met een hoge beveiliging. Deze waarschuwingen worden echter niet altijd genegeerd. Zorg ervoor dat u alle beveiligingsconfiguraties in uw doelomgeving grondig test. Beveiligingsinstellingen die afwijken van de instellingen die worden aanbevolen, kunnen de test op toepassingscompatibiliteit ongeldig maken die wordt uitgevoerd als onderdeel van het testproces van het besturingssysteem. Bovendien raden we en derden het gebruik van conceptlijnen in een live productieomgeving af in plaats van in een testomgeving.

De hoge niveaus van deze beveiligingshandleidingen bevatten verschillende instellingen die u zorgvuldig moet evalueren voordat u deze implementeert. Hoewel deze instellingen extra beveiligingsvoordelen kunnen bieden, kunnen de instellingen een nadelig effect hebben op de bruikbaarheid van het systeem.

Wijzigingen in de lijst met besturingselementen voor bestandssysteem en registertoegang

In Windows XP en nieuwere versies van Windows zijn de machtigingen in het hele systeem aanzienlijk kleiner gemaakt. Daarom hoeft u de standaardmachtigingen niet uitgebreid te wijzigen. 

Aanvullende discretionaire wijzigingen in de toegangsbeheerlijst (DACL) kunnen alle of de meeste compatibiliteitstests van toepassingen die door Microsoft worden uitgevoerd ongeldig maken. Vaak zijn wijzigingen zoals deze niet grondig getest door Microsoft op andere instellingen. Uit ondersteunings- en veldervaringen blijkt dat met DACL-bewerkingen het fundamentele gedrag van het besturingssysteem vaak op onbedoelde manieren wordt gewijzigd. Deze wijzigingen zijn van invloed op de compatibiliteit en stabiliteit van de toepassing en het verminderen van functionaliteit, wat de prestaties en de mogelijkheden betreft.

Vanwege deze wijzigingen wordt u aangeraden de DACLs van het bestandssysteem niet te wijzigen voor bestanden die zijn opgenomen in het besturingssysteem op productiesystemen. We raden u aan extra wijzigingen in de ACL te evalueren ten opzichte van een bekende bedreiging, om inzicht te krijgen in eventuele voordelen die de wijzigingen kunnen uitlenen aan een specifieke configuratie. Daarom brengen onze handleidingen slechts zeer minimale wijzigingen aan in DACL en alleen in Windows 2000. Voor Windows 2000 zijn enkele kleine wijzigingen vereist. Deze wijzigingen worden beschreven in de Windows 2000 Security Hardening Guide.

Uitgebreide machtigingswijzigingen die worden doorgevoerd in het register en bestandssysteem kunnen niet ongedaan worden gemaakt. Nieuwe mappen, zoals mappen met gebruikersprofiel die niet aanwezig waren bij de oorspronkelijke installatie van het besturingssysteem, kunnen worden beïnvloed. Als u daarom een groepsbeleidsinstelling verwijdert die DACL-wijzigingen uitvoert of als u de standaardinstellingen van het systeem toe passen, kunt u de oorspronkelijke DACL's niet terugdraaien. 

Wijzigingen in de DACL in de map %SystemDrive% kunnen de volgende scenario's veroorzaken:

  • De Prullenbak werkt niet meer zoals bedoeld en bestanden kunnen niet worden hersteld.

  • Een minder beveiliging waardoor niet-beheerders de inhoud van de Prullenbak van de beheerder kunnen bekijken.

  • Het niet werken van gebruikersprofielen zoals verwacht.

  • Een beperking van de beveiliging die interactieve gebruikers leestoegang biedt tot bepaalde of alle gebruikersprofielen in het systeem.

  • Prestatieproblemen wanneer veel DACL-bewerkingen worden geladen in een groepsbeleidsobject met lange aanmeldingstijden of herhaalde herstarten van het doelsysteem.

  • Prestatieproblemen, waaronder systeemvertragingen, elke 16 uur, of zo wanneer de groepsbeleidsinstellingen opnieuw worden toegepast.

  • Compatibiliteitsproblemen met toepassingen of het programma loopt vast.

Microsoft levert commercieel redelijke inspanningen in overeenstemming met uw ondersteuningscontract om u te helpen de slechtste resultaten van dergelijke bestands- en registermachtigingen te verwijderen. U kunt deze wijzigingen momenteel echter niet terugdraaien. We kunnen garanderen dat u alleen de aanbevolen standaardinstellingen kunt herstellen door de harde schijf opnieuw op te maken en het besturingssysteem opnieuw te installeren.

Wijzigingen in register-DACL's zijn bijvoorbeeld van invloed op grote delen van de registersleutels en kunnen ervoor zorgen dat systemen niet meer werken zoals verwacht. Als u de DACL's voor enkele registersleutels wijzigt, is dat voor veel systemen minder belangrijk. Het is echter raadzaam deze wijzigingen zorgvuldig te overwegen en te testen voordat u ze implementeert. Ook hier kunt u garanderen dat u bij het opnieuw opmaken en opnieuw installeren van het besturingssysteem kunt terugkeren naar de aanbevolen standaardinstellingen.

Microsoft-netwerkclient: communicatie digitaal ondertekenen (altijd)

Als u deze instelling inschakelen, moeten clients serverberichtblokkeringsverkeer ondertekenen wanneer ze contact opnemen met servers waarvoor geen SMB-ondertekening is vereist. Hierdoor worden clients minder kwetsbaar voor aanvallen bij het hijsen van sessies. Dit levert een belangrijke waarde op, maar zonder een soortgelijke wijziging op de server in te stellen om Microsoft-netwerkserver in teschakelen: Digitaal ondertekenen van communicatie (altijd) of Microsoft-netwerkclient: Digitaal ondertekenen van communicatie (als de clientermee instemt), kan de client niet communiceren met de server.

Netwerkbeveiliging: De hashwaarde van LAN Manager niet opslaan bij de volgende wijziging van het wachtwoord

Wanneer u deze instelling inschakelen, wordt de hashwaarde van LAN Manager (LM) voor een nieuw wachtwoord niet opgeslagen wanneer het wachtwoord wordt gewijzigd. De LM-hash is relatief zwak en gevoelig voor een aanval in vergelijking met de cryptografische krachtigere Microsoft Windows NT-hash. Hoewel deze instelling uitgebreide aanvullende beveiliging biedt voor een systeem door vele veelvoorkomende hulpprogramma's voor wachtwoordbaren te voorkomen, kan de instelling verhinderen dat sommige toepassingen correct worden begonnen of uitgevoerd.

Systeemcryptografie: gebruik compatibele FIPS-algoritmen voor versleuteling, hashing en ondertekening

Wanneer u deze instelling inschakelen, gebruiken IIS (Internet Information Services) en Microsoft Internet Explorer alleen het TLS 1.0-protocol (Transport Layer Security). Als deze instelling is ingeschakeld op een server met IIS, kunnen alleen webbrowsers die TLS 1.0 ondersteunen verbinding maken. Als deze instelling is ingeschakeld op een webclient, kan de client alleen verbinding maken met servers die het TLS 1.0-protocol ondersteunen. Deze vereiste kan van invloed zijn op de mogelijkheid van een client om websites te bezoeken die Secure Sockets Layer (SSL) gebruiken. Klik op het volgende artikelnummer voor meer informatie om het artikel in de Microsoft Knowledge Base te bekijken:

811834 Kan geen SSL-sites bezoeken nadat u fiPS-compatibelecryptografie hebt ingeschakeld. Wanneer u deze instelling inschakelen op een server die Terminal Services gebruikt, moeten clients bovendien de
RDP-client 5.2 of hoger gebruiken om verbinding te maken.

Klik op het volgende artikelnummer voor meer informatie om het artikel in de Microsoft Knowledge Base te bekijken:

811833 Het effect van het inschakelen van de beveiligingsinstelling 'Systeemcryptografie: gebruik compatibele ALGORITMEn voor versleuteling, hashing en ondertekening' in Windows XP en in nieuwere versies van Windows

De Automatic Update-service of Background Intelligent Transfer Service (BITS) is uitgeschakeld

Een van de belangrijkste pilaren van de microsoft-beveiligingsstrategie is ervoor te zorgen dat systemen op de hoogte blijven van updates. Een belangrijk onderdeel in deze strategie is de service Automatische updates. Zowel voor services voor Windows Update als voor software-update wordt de service Automatische updates gebruikt. De service Automatische updates is gebaseerd op DE Background Intelligent Transfer Service (BITS). Als deze services zijn uitgeschakeld, kunnen de computers geen updates meer ontvangen van Windows Update via Automatische updates, via Software Update-services (SUS) of via bepaalde installaties van Microsoft Systems Management Server (SMS). Deze services moeten alleen worden uitgeschakeld op systemen met een effectief update-distributiesysteem dat niet afhankelijk is van BITS.

NetLogon-service is uitgeschakeld

Als u de NetLogon-service uit schakelen, functioneert een werkstation niet meer betrouwbaar als domeinlid. Deze instelling is mogelijk geschikt voor bepaalde computers die niet deelnemen aan domeinen. Het moet echter zorgvuldig worden geëvalueerd vóór de implementatie.

NoNameReleaseOnDemand

Met deze instelling wordt voorkomen dat een server de netNAAM van de server opvraagt als deze een conflict heeft met een andere computer in het netwerk. Deze instelling is een goede voorzorgsmaatregel voor Denial of Service-aanvallen tegen naamservers en andere zeer belangrijke serverrollen.

Wanneer u deze instelling op een werkstation inschakelen, weigert het werkstation de Net EVEN EVENS-naam weer te geven, zelfs als de naam in strijd is met de naam van een belangrijker systeem, zoals een domeincontroller. In dit scenario kan de functionaliteit van belangrijke domeinen worden uitgeschakeld. Microsoft ondersteunt sterk industrie-inspanningen om beveiligingsinlichtingen te bieden die zijn gericht op implementaties op hoog beveiligingsgebieden. Deze richtlijnen moeten echter grondig worden getest in de doelomgeving. Het wordt ten zeerste aangeraden dat systeembeheerders die meer beveiligingsinstellingen nodig hebben dan de standaardinstellingen, de door Microsoft uitgegeven handleidingen gebruiken als uitgangspunt voor de vereisten van hun organisatie. Neem contact op met de organisatie die de richtlijnen heeft uitgegeven voor ondersteuning of vragen over handleidingen van derden.

Verwijzingen

Zie Beveiligingsinstellingen in Windows Server 2003 en Windows XP voor meer informatie over beveiligingsinstellingen. Ga naar de volgende Microsoft-website om deze handleiding te downloaden:

http://go.microsoft.com/fwlink/?LinkId=15159Klik op het volgende artikelnummer voor meer informatie over het effect van enkele aanvullende belangrijke beveiligingsinstellingen om het artikel in de Microsoft Knowledge Base te bekijken:

823659 Incompatibiliteiten met de client, service en programma die kunnen optreden wanneer u beveiligingsinstellingen en toewijzingen van gebruikersrechten wijzigtVoor meer informatie over de effecten van het vereisen van compatibele ALGORITMEn met FIPS, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base te bekijken:

811833 De effecten van het inschakelen van de beveiligingsinstelling 'Systeemcryptografie: Gebruik FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening' in Windows XP en nieuwere versiesMicrosoft voor contactgegevens van derden om u te helpen bij het vinden van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.


Ga naar de volgende Microsoft-website voor informatie over de hardwarefabrikant:

http://support.microsoft.com/gp/vendors/en-us

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Hartelijk dank voor uw feedback.

×