Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Sammendrag

Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) og National Institute of Standards and Technology (NIST) har publisert «konfigurasjonsveiledning for sikkerhet» for Microsoft Windows.

De høye sikkerhetsnivåene som er angitt i noen av disse veiledningene, kan begrense funksjonaliteten til et system betydelig. Derfor bør du utføre betydelig testing før du distribuerer disse anbefalingene. Vi anbefaler at du tar flere forholdsregler når du gjør følgende:

  • Redigere tilgangskontrollister for filer og registernøkler

  • Aktiver Microsoft-nettverksklienten: Signer kommunikasjon digitalt (alltid)

  • Aktiver Nettverkssikkerhet: Ikke lagre hash-nummerverdi for LAN Manager ved neste passordendring

  • Aktiver systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hash-kode og signering

  • Deaktivere automatisk oppdateringstjeneste Background Intelligent Transfer Service (BITS)

  • Deaktiver NetLogon-tjenesten

  • Aktiver NoNameReleaseOnDemand

Microsoft støtter på det sterkeste bransjeinnsatsen for å gi sikkerhetsveiledning for distribusjoner i områder med høy sikkerhet. Du må imidlertid grundig teste veiledningen i målmiljøet. Hvis du trenger flere sikkerhetsinnstillinger utover standardinnstillingene, anbefaler vi på det sterkeste at du ser de Microsoft-utstedte veiledningene. Disse veiledningene kan fungere som et utgangspunkt for organisasjonens krav. Hvis du trenger støtte eller spørsmål om tredjepartsveiledninger, kan du kontakte organisasjonen som utstedte veiledningen.

Innledning

I løpet av de siste årene har en rekke organisasjoner, inkludert Microsoft, Center for Internet Security (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA) og National Institute of Standards and Technology (NIST), publisert «konfigurasjonsveiledning for sikkerhet» for Windows. Som med alle sikkerhetsveiledninger har den ekstra sikkerheten som kreves ofte en negativ innvirkning på brukervennligheten.

Flere av disse veiledningene, inkludert veiledninger fra Microsoft, fra CIS og fra NIST, inneholder flere nivåer av sikkerhetsinnstillinger. Disse veiledningene kan inneholde nivåer som er utformet for følgende:

  • Interoperabilitet med eldre operativsystemer

  • Bedriftsmiljøer

  • Forbedret sikkerhet som gir begrenset funksjonalitet Vær oppmerksom på at dette nivået ofte kalles Specialized Security – Begrenset funksjonalitet-nivå eller Høy

    sikkerhet-nivået.

Nivået High Security (høy sikkerhet) eller Specialized Security – begrenset funksjonalitet er utviklet spesielt for svært vertsfulle miljøer med betydelig risiko for angrep. Dette nivået beskytter informasjon av den høyeste mulige verdien, for eksempel informasjon som kreves av enkelte offentlige systemer. Høy sikkerhet-nivået i mesteparten av denne offentlige veiledningen er upassende for de fleste systemer som kjører Windows. Vi anbefaler at du ikke bruker Høy sikkerhet-nivået på arbeidsstasjoner med generelle formål. Vi anbefaler at du bruker høy sikkerhet bare på systemer der kompromittering fører til tap av levetid, tap av svært verdifull informasjon eller tap av mye penger.

Flere grupper arbeidet med Microsoft for å produsere disse sikkerhetsveiledningene. I mange tilfeller håndterer disse alle lignende trusler. Hver veiledning er imidlertid litt forskjellig på grunn av juridiske krav, lokal policy og funksjonelle krav. Derfor kan innstillingene variere fra ett sett med anbefalinger til neste. Delen «Organisasjoner som produserer offentlig tilgjengelig sikkerhetsveiledning» inneholder et sammendrag av hver sikkerhetsveiledning.

Mer informasjon

Organisasjoner som produserer offentlig tilgjengelig sikkerhetsveiledning

Microsoft Corporation

Microsoft gir veiledning for hvordan du kan sikre våre egne operativsystemer. Vi har utviklet følgende tre nivåer med sikkerhetsinnstillinger:

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Specialized Security – Begrenset funksjonalitet (SSLF)

Vi testet denne veiledningen grundig for bruk i mange kundescenarioer. Veiledningen passer for alle organisasjoner som ønsker å bidra til å sikre sine Windows-baserte datamaskiner.

Vi støtter veiledningene våre fullt ut på grunn av den omfattende testingen som vi har utført i programkompatibilitetslaboratoriene våre på disse veiledningene. Gå til følgende Microsoft-nettsteder for å laste ned veiledningene våre:

Hvis du opplever problemer eller har kommentarer etter at du har implementert Microsofts sikkerhetsveiledninger, kan du gi tilbakemelding ved å sende en e-postmelding til secwish@microsoft.com.



Konfigurasjonsveiledning for sikkerhet for Windows-operativsystemet, for Internet Explorer og office produktivitetspakken leveres i Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


The Center for Internet Security

CIS har utviklet benchmarks for å gi informasjon som hjelper organisasjoner med å ta informerte beslutninger om bestemte tilgjengelige sikkerhetsvalg. CIS har gitt tre nivåer med benchmarks for sikkerhet:

  • Eldre

  • Enterprise

  • Høy sikkerhet

Hvis du opplever problemer eller har kommentarer etter at du implementerer innstillingene for CIS benchmark, kan du kontakte CIS ved å sende en e-postmelding win2k-feedback@cisecurity.org.

Vær oppmerksom på at CIS-veiledningen er endret siden vi opprinnelig publiserte denne artikkelen (3. november 2004). CIS gjeldende veiledning ligner på veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese avsnittet «Microsoft Corporation» tidligere i denne artikkelen.

The National Institute of Standards and Technology

NIST er ansvarlig for å opprette sikkerhetsveiledning for de amerikanske føderale myndighetene. NIST har opprettet fire nivåer med sikkerhetsveiledning som brukes av de amerikanske føderale kontorene, private organisasjoner og offentlige organisasjoner:

  • SoHo

  • Eldre

  • Enterprise

  • Spesialisert sikkerhet – begrenset funksjonalitet

Hvis du opplever problemer eller har kommentarer etter at du har implementert NIST-sikkerhetsmalene, kan du kontakte NIST ved å sende en e-postmelding tilitsec@nist.gov.

Vær oppmerksom på at NNVs veiledning er endret siden vi opprinnelig publiserte denne artikkelen (3. november 2004). NNVs gjeldende veiledning ligner på veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese avsnittet «Microsoft Corporation» tidligere i denne artikkelen.

The Defense Information Systems Agency

DISA oppretter veiledning spesielt for bruk i det amerikanske forsvarsdepartementet (DOD). DOD-brukere i USA som opplever problemer eller har kommentarer etter at de har implementert DISA-konfigurasjonsveiledningen, kan gi tilbakemelding ved å sende en e-postmelding fso_spt@ritchie.disa.mil.

Vær oppmerksom på at DISA-veiledningen er endret siden vi opprinnelig publiserte denne artikkelen (3. november 2004). Den gjeldende veiledningen til DISA ligner eller er identisk med veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese avsnittet «Microsoft Corporation» tidligere i denne artikkelen.

Det nasjonale sikkerhetsbyrået (NSA)

NSA har produsert veiledning for å sikre datamaskiner med høy risiko i det amerikanske forsvarsdepartementet (DOD). NSA har utviklet et enkelt veiledningsnivå som tilsvare omtrent det høye sikkerhetsnivået som produseres av andre organisasjoner.

Hvis du opplever problemer eller har kommentarer etter at du har implementert NSA-sikkerhetsveiledningene for Windows XP, kan du gi tilbakemelding ved å sende en e-postmelding til XPGuides@nsa.gov. Hvis du vil gi tilbakemelding om Windows 2000-veiledningene, kan du sende en e-postmelding w2kguides@nsa.gov.

Vær oppmerksom på at NSA-veiledningen er endret siden vi opprinnelig publiserte denne artikkelen (3. november 2004). NSA sin gjeldende veiledning ligner eller er identisk med veiledningen fra Microsoft. Hvis du vil ha mer informasjon om veiledningen fra Microsoft, kan du lese avsnittet «Microsoft Corporation» tidligere i denne artikkelen.

Problemer med sikkerhetsveiledning

Som nevnt tidligere i denne artikkelen, er de høye sikkerhetsnivåene som beskrives i noen av disse veiledningene utformet for å begrense funksjonaliteten til et system betydelig. På grunn av denne begrensningen bør du teste et system grundig før du distribuerer disse anbefalingene.

Vær oppmerksom på at sikkerhetsveiledningen for SoHo-, Eldre- eller Enterprise-nivåene ikke har blitt rapportert til å påvirke systemfunksjonaliteten alvorlig. Denne Kunnskapsbaseartikkelen fokuserer hovedsakelig på veiledningen som er knyttet til det høyeste sikkerhetsnivået. 

Vi støtter på det sterkeste bransjeinnsatsen for å gi sikkerhetsveiledning for distribusjoner i områder med høy sikkerhet. Vi fortsetter å arbeide med grupper for sikkerhetsstandarder for å utvikle nyttige hardere-veiledninger som er fullstendig testet. Sikkerhetsretningslinjer fra tredjeparter blir alltid utstedt med sterke advarsler for fullstendig testing av retningslinjene i målmiljøer med høy sikkerhet. Disse advarslene er imidlertid ikke alltid aktet. Kontroller at du tester alle sikkerhetskonfigurasjoner i målmiljøet grundig. Sikkerhetsinnstillinger som er forskjellige fra de vi anbefaler, kan gjøre programkompatibilitetstestingen som utføres som en del av testingsprosessen for operativsystemet, ugyldig. Vi og tredjeparter frasier oss dessuten at kladdeveiledningen brukes i et miljø med direkte produksjon i stedet for i et testmiljø.

De høye nivåene i disse sikkerhetsveiledningene inneholder flere innstillinger som du bør vurdere nøye før du implementerer dem. Selv om disse innstillingene kan gi flere sikkerhetsfordeler, kan innstillingene ha en negativ innvirkning på brukervennligheten til systemet.

Endringer i filsystem og registertilgangskontrolliste

Windows XP og nyere versjoner av Windows har betydelig skjerpet tillatelser i hele systemet. Derfor er det ikke nødvendig med omfattende endringer av standardtillatelser. 

Ytterligere vilkårlige endringer i tilgangskontrollisten (DACL) kan gjøre alle eller de fleste av programkompatibilitetstestene som utføres av Microsoft, ugyldige. Endringer som disse, har ofte ikke gjennomgått den grundige testingen som Microsoft har utført på andre innstillinger. Kundestøttesaker og felterfaring har vist at DACL-redigeringer endrer den grunnleggende virkemåten til operativsystemet, ofte på utilsiktede måter. Disse endringene påvirker programkompatibilitet og stabilitet og reduserer funksjonalitet med hensyn til både ytelse og funksjonalitet.

På grunn av disse endringene anbefaler vi ikke at du endrer daCL-filer for filsystemet på filer som følger med operativsystemet på produksjonssystemer. Vi anbefaler at du evaluerer eventuelle flere ACL-endringer mot en kjent trussel for å forstå potensielle fordeler som endringene kan låne til en bestemt konfigurasjon. Av disse grunnene gjør veiledningene våre bare svært minimale DACL-endringer og bare for Windows 2000. For Windows 2000 kreves flere mindre endringer. Disse endringene er beskrevet i veiledningen for sikkerhetsforringing i Windows 2000.

Omfattende tillatelsesendringer som overføres over hele registeret og i filsystemet, kan ikke angres. Nye mapper, for eksempel brukerprofilmapper som ikke var til stede på den opprinnelige installasjonen av operativsystemet, kan bli påvirket. Hvis du fjerner en gruppepolicyinnstilling som utfører DACL-endringer, eller hvis du bruker systemstandardene, kan du derfor ikke rulle tilbake de opprinnelige DACL-ene. 

Endringer i DACL i %SystemDrive%-mappen kan forårsake følgende scenarier:

  • Papirkurven fungerer ikke lenger slik den er utformet, og filene kan ikke gjenopprettes.

  • Reduksjon av sikkerhet som lar en ikke-administrator vise innholdet i administratorens papirkurv.

  • Feil i brukerprofiler til å fungere som forventet.

  • Reduksjon av sikkerhet som gir interaktive brukere lesetilgang til noen eller alle brukerprofiler på systemet.

  • Ytelsesproblemer når mange DACL-redigeringer lastes inn i et gruppepolicyobjekt som inneholder lange påloggingstider eller gjentatte omstarter av målsystemet.

  • Ytelsesproblemer, inkludert systemabiliserelse, hver 16. time eller så videre som gruppepolicyinnstillinger brukes på nytt.

  • Programkompatibilitetsproblemer eller programmet krasjer.

For å hjelpe deg med å fjerne de dårligste resultatene av slike fil- og registertillatelser, vil Microsoft tilby kommersielt rimelige tiltak i tråd med støttekontrakten din. Du kan imidlertid for øyeblikket ikke rulle tilbake disse endringene. Vi kan bare garantere at du kan gå tilbake til de anbefalte avmerkingsboksen ved å formatere harddisken på nytt og installere operativsystemet på nytt.

Endringer i register-DACL-er påvirker for eksempel store deler av registerets feil og kan føre til at systemer ikke lenger fungerer som forventet. Endring av DACL-er på enkle registernøkler utgjør mindre problem for mange systemer. Vi anbefaler imidlertid at du vurderer og tester disse endringene nøye før du implementerer dem. Vi kan også garantere bare at du kan gå tilbake til de anbefalte avmerkingsboksen hvis du formaterer og installerer operativsystemet på nytt.

Microsoft-nettverksklient: Signere kommunikasjon digitalt (alltid)

Når du aktiverer denne innstillingen, må klienter signere SMB-trafikk (Server Message Block) når de kontakter servere som ikke krever SMB-signering. Dette gjør klientene mindre sårbare for angrep som kaprering av økter. Den gir en betydelig verdi, men uten å aktivere en lignende endring på serveren for å aktivere Microsoft-nettverksserveren: Signer kommunikasjon digitalt (alltid) eller Microsoft-nettverksklienten:Signer kommunikasjon digitalt (hvis klienten er enig) kan ikke klienten kommunisere med serveren.

Nettverkssikkerhet: Ikke lagre hash-nummerverdi for LAN Manager ved neste passordendring

Når du aktiverer denne innstillingen, lagres ikke hash-kodeverdien for LAN Manager (LM) for et nytt passord når passordet endres. LM-hash-en er relativt svak og utsatt for angrep sammenlignet med den kryptografiske sterkere Microsoft Windows NT-hash-en. Selv om denne innstillingen gir omfattende ekstra sikkerhet for et system ved å forhindre mange vanlige verktøy for passordsprekking, kan innstillingen hindre at enkelte programmer starter eller kjører riktig.

Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hash-kode og signering

Når du aktiverer denne innstillingen, bruker Internet Information Services (IIS) og Microsoft Internet Explorer bare Transport Layer Security (TLS) 1.0-protokollen. Hvis denne innstillingen er aktivert på en server som kjører IIS, kan bare nettlesere som støtter TLS 1.0 koble til. Hvis denne innstillingen er aktivert på en nettklient, kan klienten bare koble til servere som støtter TLS 1.0-protokollen. Dette kravet kan påvirke kundens mulighet til å besøke nettsteder som bruker SSL (Secure Sockets Layer). Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

811834 Kan ikke gå til SSL-nettsteder etter at du har aktivert FIPS-kompatibel kryptografi i tillegg, når du aktiverer denne innstillingen på en server som bruker Terminal Services, må klienter bruke RDP-klienten 5.2 eller nyere versjoner for å koble
til.

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

811833 Effekten av å aktivere sikkerhetsinnstillingen «Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hash-kode og signering» i Windows XP og i nyere versjoner av Windows

Automatisk oppdateringstjeneste Background Intelligent Transfer Service (BITS) er deaktivert

En av de viktigste søylene i Microsofts sikkerhetsstrategi er å sørge for at systemene holdes oppdatert på oppdateringene. En viktig komponent i denne strategien er Automatiske oppdateringer-tjenesten. Både Windows Update- og Programvareoppdateringstjenester bruker Automatiske oppdateringer-tjenesten. Tjenesten Automatiske oppdateringer er avhengig av den Background Intelligent Transfer Service (BITS). Hvis disse tjenestene er deaktivert, vil ikke datamaskinene lenger kunne motta oppdateringer fra Windows Update via automatiske oppdateringer, fra Software Update Services (SUS) eller fra noen Microsoft Systems Management Server (SMS)-installasjoner. Disse tjenestene bør bare deaktiveres på systemer som har et effektivt oppdateringsdistribusjonssystem som ikke er avhengig av BITS.

NetLogon-tjenesten er deaktivert

Hvis du deaktiverer NetLogon-tjenesten, fungerer ikke lenger en arbeidsstasjon like pålitelig som et domenemedlem. Denne innstillingen kan være aktuell for enkelte datamaskiner som ikke deltar i domener. Det bør imidlertid evalueres nøye før distribusjon.

NoNameReleaseOnDemand

Denne innstillingen forhindrer en server fra å gi nytt navn til Net ERIND HVIS den er i konflikt med en annen datamaskin i nettverket. Denne innstillingen er et godt preventivt mål for tjenestenektelsesangrep mot navneservere og andre svært viktige serverroller.

Når du aktiverer denne innstillingen på en arbeidsstasjon, nekter arbeidsstasjonen å gi tilbake NetKONTOS-navnet selv om navnet er i konflikt med navnet på et viktigere system, for eksempel en domenekontroller. Dette scenariet kan deaktivere viktig domenefunksjonalitet. Microsoft støtter på det sterkeste bransjeinnsatsen for å gi sikkerhetsveiledning som er rettet mot distribusjoner i områder med høy sikkerhet. Denne veiledningen må imidlertid grundig testes i målmiljøet. Vi anbefaler på det sterkeste at systemansvarlige som krever flere sikkerhetsinnstillinger utover standardinnstillingene, bruker de Microsoft-utstedte veiledningene som utgangspunkt for organisasjonens krav. Hvis du trenger støtte eller spørsmål om tredjepartsveiledninger, kan du kontakte organisasjonen som utstedte veiledningen.

Referanser

Hvis du vil ha mer informasjon om sikkerhetsinnstillinger, kan du se Trusler og mottiltak: Sikkerhetsinnstillinger i Windows Server 2003 og Windows XP. Hvis du vil laste ned denne veiledningen, kan du gå til følgende Microsoft-nettsted:

http://go.microsoft.com/fwlink/?LinkId=15159Hvis du vil ha mer informasjon om virkningen av noen ekstra viktige sikkerhetsinnstillinger, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

823659 Kompatibilitetsproblemer med klient, tjeneste og program som kan oppstå når du endrer sikkerhetsinnstillinger og tilordninger av brukerrettigheter. Hvis du vil ha mer informasjon om effekten av å kreve FIPS-kompatible algoritmer, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

811833 Effekten av å aktivere «Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hash-kode og signering» i Windows XP og nyere versjoner avMicrosoft gir tredjeparts kontaktinformasjon som hjelper deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.


Hvis du vil ha informasjon om maskinvareprodusenten, kan du gå til følgende Microsoft-nettsted:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-post

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×