Suport pentru indicații configurare securitate


Rezumat


Microsoft, centrul pentru Internet Security (CSI), National Security Agency (NSA), apărare informații sisteme Agency (DISA), și National Institute of Standards and Technology (NIST) au publicat "ghid de configurare a securitate" pentru Microsoft Windows.

Nivelul de securitate maxim care sunt specificate în unele dintre aceste ghiduri pot limita semnificativ funcționalitatea sistemului. De aceea, trebuie să efectuaţi testarea importante înainte de a implementa aceste recomandări. Vă recomandăm să luați măsuri suplimentare când efectuați următoarele:
  • Editare listele de control al accesului (ACL-uri) pentru fișiere și chei de registry
  • Activați Microsoft network client: Digitally sign communications (always)
  • Activați securitate de rețea: nu stoca LAN Manager hash valoare pe următoarea modificare parolă
  • Activați sistem criptografie: utilizarea FIPS compatibil cu algoritmi de criptare, hash, și semnarea
  • Disable Automatic Update service sau Background Intelligent Transfer Service (BITS)
  • Dezactivați serviciul NetLogon
  • Activarea NoNameReleaseOnDemand
Microsoft recomandă insistent acceptă industria eforturile pentru a oferi îndrumare de securitate pentru implementări în zonele de securitate înaltă. Cu toate acestea, trebuie să testați riguros îndrumare în mediul țintă. Dacă aveți nevoie de setările de securitate suplimentare dincolo de setările implicite, vă recomandăm că Vedeți ghiduri emise de Microsoft. Aceste ghiduri poate servi ca un punct de plecare pentru cerințele organizației. Pentru asistență sau întrebări despre ghiduri terț, contactați organizație care a emis indicații.

Introducere


În ultimii ani, un număr de organizații, inclusiv Microsoft, centrul pentru Internet Security (CSI), National Security Agency (NSA), apărare informații sisteme Agency (DISA), și National Institute of Standards and Technology (NIST), au publicat "ghid de configurare a securitate" pentru Windows. Ca cu orice ghid de securitate, securitate suplimentare pe care este necesar frecvent are efecte negative asupra gradul de utilizare.

Mai multe dintre aceste ghiduri, inclusiv ghiduri de la Microsoft, CSI, și NIST, conține mai multe niveluri de setările de securitate. Aceste ghiduri pot include niveluri proiectate pentru următoarele:
  • Interoperabilitate cu sistemele de operare mai vechi
  • Medii Enterprise
  • Avansată de securitate care oferă funcționalități limitate

    Notă Acest nivel este frecvent cunoscut sub numele de securitate specializat – nivel funcționalitate limitată sau nivelul de securitate maxim.
Nivelul de securitate maxim sau specializat securitate – funcționalitate limitată, este proiectat special pentru medii foarte ostile sub semnificativ riscul de atac. Acest nivel poliţiştii informații de valoarea maximă posibilă, cum ar fi informații necesar de unele sisteme de guvern. Nivelul de securitate maxim de cele mai multe dintre aceste indicații publice sunt inadecvate pentru majoritatea sistemelor care se execută Windows. Vă recomandăm să utilizați nivelul de securitate maxim pe stațiile de lucru general. Vă recomandăm să utilizați nivelul de securitate maxim numai pe sistemele care compromis ar cauza pierderi de viață, pierderea de informații foarte valoros sau pierderea de mulți bani.

Mai multe grupuri a lucrat cu Microsoft pentru a produce aceste ghiduri de securitate. În multe cazuri, aceste ghiduri toate adresa similare amenințări. Cu toate acestea, fiecare ghid diferă ușor din cauza cerințelor legale, politica locală și cerințele funcționale. Din acest motiv, setările pot varia de la un set de recomandări la următoarea. "Organizațiile care produce ghid de securitate disponibile publicului" conține un rezumat al fiecărui ghid de securitate.

Mai multe informații


Organizațiile care produce ghid de securitate disponibile în mod public

Microsoft Corporation

Microsoft furnizează indicații pentru modul de a contribui la securizarea propriile sisteme de operare. Am dezvoltat următoarele trei niveluri de setările de securitate:
  • Client Enterprise (EC)
  • Independent (SA)
  • Securitate specializate – funcționalitate limitată (SSLF)
Am testat bine această îndrumare pentru utilizare în mai multe scenarii de client. Îndrumare este potrivit pentru orice organizație care dorește să securizeze sale computerele bazate pe Windows.

Am suport complet Ghidul nostru din cauza testarea extinse care ne-au efectuat în laboratoarele noastre de compatibilitate aplicație pe aceste ghiduri. Vizitați următorul site Web Microsoft pentru a descărca Ghidul nostru:Dacă vă confruntați cu probleme sau au Comentarii după implementarea ghiduri de securitate Microsoft, poate furniza feedback prin trimiterea unui mesaj de poștă electronică la secwish@microsoft.com.



Ghid de configurare de securitate pentru sistemul de operare Windows, pentru Internet Explorer și pentru suita Office productivity este furnizată în Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


Centrul pentru Internet Security

CSI a dezvoltat teste pentru a furniza informații care vă ajută organizațiile decizii informat despre anumite opțiuni de securitate. CSI furnizat de trei niveluri de teste de securitate:
  • Moștenire
  • Enterprise
  • Grad mare de securitate
Dacă vă confruntați cu probleme sau au Comentarii după implementarea setările de măsurare CSI, contactați CSI trimițând un mesaj de poștă electronică la win2k-feedback@cisecurity.org.

Notă Indicații CSI pe modificat deoarece ne publicat inițial acest articol (3 noiembrie 2004). Indicații curentă CSI pe seamănă cu îndrumările oferite de Microsoft. Pentru mai multe informații despre îndrumările oferite de Microsoft, citiți secțiunea "Microsoft Corporation" anterior în acest articol.

National Institute of Standards and Technology

NIST este responsabilă pentru crearea ghid de securitate pentru guvern Federală Statele Unite. NIST a creat patru niveluri de ghid de securitate care sunt utilizate de SUA Federală Agencies, organizaţii private și publice organizații:
  • SoHo
  • Moștenire
  • Enterprise
  • Securitate specializate – funcționalitate limitată
Dacă vă confruntați cu probleme sau au Comentarii după implementarea NIST securitate şabloane, contactați NIST trimițând un mesaj de poștă electronică la itsec@nist.gov.

Notă Indicații NIST s-a modificat deoarece ne publicat inițial acest articol (3 noiembrie 2004). Indicații curentă NIST seamănă cu îndrumările oferite de Microsoft. Pentru mai multe informații despre îndrumările oferite de Microsoft, citiți secțiunea "Microsoft Corporation" anterior în acest articol.

Apărare informații sisteme Agency

DISA creează indicații special pentru utilizare în Statele Unite Departamentul de apărare (DOD). Statele Unite DOD utilizatorilor care apar probleme sau au Comentarii după ce le implementați indicații de configurare DISA poate furniza feedback prin trimiterea unui mesaj de poștă electronică la fso_spt@ritchie.disa.mil.

Notă Indicații DISA pe modificat deoarece ne publicat inițial acest articol (3 noiembrie 2004). DISA pe orientare curentă este identic cu îndrumările oferite de Microsoft sau similare. Pentru mai multe informații despre îndrumările oferite de Microsoft, citiți secțiunea "Microsoft Corporation" anterior în acest articol.

National Security Agency (NSA)

NSA a produs indicații pentru a ajuta la computerele cu risc ridicat securizat în Statele Unite Departamentul de apărare (DOD). NSA a dezvoltat un singur nivel de orientare care corespunde aproximativ cu nivelul de securitate maxim care este produsă de alte organizaţii.

Dacă vă confruntați cu probleme sau au Comentarii după implementarea NSA securitate ghiduri pentru Windows XP, poate furniza feedback prin trimiterea unui mesaj de poștă electronică la XPGuides@nsa.gov. Pentru a oferi feedback pe ghiduri pentru Windows 2000, trimiteți un mesaj de poștă electronică la w2kguides@nsa.gov.

Notă Indicații NSA pe modificat deoarece am publicat inițial acest articol (3 noiembrie 2004). NSA pe orientare curentă este identic cu îndrumările oferite de Microsoft sau similare. Pentru mai multe informații despre îndrumările oferite de Microsoft, citiți secțiunea "Microsoft Corporation" de mai sus în acest articol.

Probleme de orientare de securitate

Așa cum am menționat mai devreme în acest articol, nivelul de securitate maxim care sunt descrise în unele dintre aceste ghiduri au fost proiectate pentru a restricționa semnificativ funcționalitatea de un sistem. Din cauza această restricție, ar trebui să testați riguros un sistem înainte de a implementa aceste recomandări.

Notă Ghid de securitate care este furnizat pentru nivelul SoHo, Legacy sau Enterprise nu a fost raportat ca grav afectează funcționalitatea sistemului. Acest articol din baza de cunoștințe este în primul rând axat pe indicații care este asociat cu cel mai înalt nivel de securitate.

Recomandăm cu insistență susţinem industria eforturile pentru a oferi îndrumare de securitate pentru implementări în zonele de securitate înaltă. Vom continua să funcționeze cu grupurile standarde de securitate pentru a dezvolta sfaturi utile consolidare care este complet testate. Norme de securitate de la terți întotdeauna sunt emise cu avertismente puternică pentru a testa complet indicațiile în medii de securitate înaltă țintă. Cu toate acestea, nu sunt întotdeauna ascultat aceste avertizări. Asigurați-vă să le testați riguros toate configurații de securitate în mediul țintă. Setările de securitate care diferă de cele care se recomandă pot anula testare compatibilitate a aplicațiilor care se efectuează ca parte a sistemului de operare, procesul de testare. În plus, noi și a terților special descurajează aplicarea indicații proiect într-un mediu de producție live în loc de într-un mediu de testare.

Nivel ridicat de aceste ghiduri de securitate include câteva setări care ar trebui să cu atenție evalua înainte de a le implementa. Deși aceste setări pot oferi beneficii suplimentare de securitate, setările pot avea efecte negative asupra gradul de utilizare a sistemului.

Fișierul registry de sistem și access control listă modificări

Windows XP şi versiunile ulterioare de Windows aveți consolidate semnificativ permisiuni pe parcursul sistemul. Prin urmare, modificările extinse de permisiuni implicite ar trebui să fie necesare.

Control al accesului deplin suplimentare listă (dacl list) modificări pot anula toate sau majoritatea testul de compatibilitate aplicație care se efectuează de către Microsoft. Frecvent, modificări, cum ar fi acestea nu au trecut prin testări aprofundată care Microsoft a efectuat pe alte setări. Cazuri de suport și experiență de câmp au arătat că dacl list editări schimba comportamentul fundamentale ale sistemului de operare, frecvent în moduri nedorite. Aceste modificări afectează compatibilitatea aplicațiilor și stabilitatea și reduce funcționalitate, în ceea ce privește atât performanţa şi capacitatea.

Din cauza acestor modificări, nu recomandăm să modificați sistemul de fișiere DACLs fișierele care sunt incluse în sistemul de operare pe sisteme de producție. Vă recomandăm să evaluați alte modificări ACL împotriva unei amenințări cunoscute de înțeles avantajele potențiale care modificările pot împrumuta la o configuraţie specifică. Din aceste motive, ghidurile noastre modificări numai foarte minim dacl list și numai pentru Windows 2000. Pentru Windows 2000, sunt necesare mai multe modificări minore. Aceste modificări sunt descrise în Windows 2000 consolidare Ghidul de securitate.

Extinse permisiunea modificări care sunt propagate în registry și sistemul de fișiere nu pot fi anulate. Foldere noi, cum ar fi folderele de profil de utilizator care nu au fost prezente la instalarea originală de sistemul de operare pot fi afectate. De aceea, dacă eliminați o setare de politică de grup care efectuează modificări dacl List sau se aplică setările implicite de sistem, care nu pot face revenirea DACLs originală.

Modificările dacl list în folderul % SystemDrive % poate provoca următoarele scenarii:
  • Coșul de reciclare nu mai funcționează ca proiectat și fișiere nu pot fi recuperate.
  • O reducere de securitate care permite unui administrator Vizualizați conținutul de administrator Coșul de reciclare.
  • Eroare de profiluri de utilizator să funcționeze așa cum vă așteptați.
  • O reducere de securitate care oferă utilizatorilor interactiv cu citire accesul la unele sau toate profilurile de utilizator în sistem.
  • Probleme de performanță la multe dacl list editări sunt încărcate într-un obiect de politică de grup, care include ori timp de log on sau repornește repetate de sistemul țintă.
  • Probleme de performanță, inclusiv repornire inexplicabilă de sistem, fiecare 16 ore sau pentru ca politica de grup setări se aplicată din nou.
  • Probleme de compatibilitate aplicație sau o aplicație se blochează.
Pentru a vă ajuta să eliminați mai rezultatele acestor permisiunile pentru fișiere și registry, Microsoft va furniza comercial eforturile în funcție de contract de suport. Cu toate acestea, este posibilă în prezent face revenirea aceste modificări. Putem garanta numai că aveți posibilitatea să reveniți setările recomandate out-of-box reformatarea unitatea hard disk şi reinstalarea sistemului de operare.

De exemplu, modificări la registry DACLs afectează mare parte din secțiunile de registry și poate provoca sisteme să nu mai funcționeze conform așteptărilor. Modificarea DACLs pe singur registry chei reprezintă mai puţin de o problemă la mai multe sisteme. Cu toate acestea, vă recomandăm să cu atenție luați în considerare și să testați aceste modificări, înainte de a le implementa. Din nou, putem garanta doar că poate reveni la setările recomandate out-of-box dacă să reformatați și să reinstalați sistemul de operare.

Microsoft network client: Digitally sign communications (always)

Când activați această setare, clienții trebuie să semneze trafic Server mesaj Block (SMB) atunci când acestea contacta serverele care nu necesită semnarea SMB. Acest lucru face mai vulnerabile la sesiunea deturnarea atacuri clienții. Furnizează o valoare semnificativă, dar fără activarea similare o modificare pe serverul de activare Microsoft network server: Digitally sign communications (always) sau Microsoft network client: Digitally sign communications (în cazul în care clientul este de acord), clientul va putea comunica cu succes cu serverul.

Securitate de rețea: nu stoca LAN Manager hash valoare pe următoarea schimbare parolă

Când activați această setare, valoarea hash LAN Manager (LM) pentru o parolă nouă a nu vor fi stocate atunci când se modifică parola. LM hash este relativ slabă și predispuse la atacuri în comparație cu Microsoft Windows NT hash criptografic mai puternic. Deși această setare furnizează extinse de securitate suplimentare pentru un sistem prin prevenirea multe comune spart parole utilitare, setarea pot împiedica unele aplicații de la pornirea sau execută corect.

Sistem criptografie: utilizarea FIPS compatibil cu algoritmi de criptare, hash, și semnarea

Când activați această setare, Internet Information Services (IIS) și Microsoft Internet Explorer utilizează numai Protocolul de Transport Layer Security (TLS) 1.0. Dacă această setare este activată pe un server care execută IIS, se poate conecta numai browsere web care acceptă TLS 1.0. Dacă această setare este activată pe un client web, clientul poate conecta numai la servere care acceptă protocolul TLS 1.0. Această cerință poate afecta capacitatea de un client pentru a vizita site-uri web care utilizează Secure Sockets Layer (SSL). Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
811834 nu pot vizita site-uri SSL după ce activați FIPS compatibil cu criptografie

În plus, când activați această setare de pe un server care utilizează Terminal Services, clienții sunt nevoit să folosească RDP client 5.2 sau versiuni mai recente pentru a vă conecta.

Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:
811833 efectele activarea "sistem criptografie: utilizarea FIPS compatibil cu algoritmi de criptare, hash, și semnarea" setarea de securitate în Windows XP și în versiunile ulterioare de Windows

Serviciu de actualizare automată sau Background Intelligent Transfer Service (BITS) este dezactivată

Unul dintre coloane cheie strategii de securitate Microsoft este pentru a vă asigura că sistemele sunt păstrate curente actualizări. O componentă cheie în această strategie este serviciul actualizări automate. Windows Update și a Software Update services utiliza serviciul actualizări automate. Serviciul actualizări automate se bazează pe Background Intelligent Transfer Service (BITS). Dacă aceste servicii sunt dezactivate, computerele nu va putea să primiți actualizări de la Windows Update prin actualizări automate, Software Update services (SUS) sau de la unele instalări Microsoft Systems Management Server (SMS). Aceste servicii trebuie să fie dezactivată numai pe sistemele care au un sistem de distribuție eficientă de actualizare care se bazează pe BITS.

Serviciul NetLogon este dezactivat

Dacă dezactivaţi serviciul NetLogon, o stație de lucru nu mai funcționează corect ca membru de domeniu. Această setare poate fi adecvată pentru unele computere care nu face parte din domenii. Cu toate acestea, acesta ar trebui să fie evaluate cu grijă înainte de implementare.

NoNameReleaseOnDemand

Această setare împiedică un server să renunţa la numele NetBIOS, dacă este în conflict cu un alt computer din rețea. Această setare este o bună măsură preventivă pentru refuzare serviciu atacurile împotriva serverelor de nume și alte roluri de server foarte importante.

Când activați această setare de pe o stație de lucru, stația de lucru refuză să renunțe la numele NetBIOS, chiar dacă numele intră în conflict cu numele unui sistem mai important, cum ar fi un controler de domeniu. Acest scenariu poate dezactiva funcționalitatea important domeniu. Microsoft recomandă insistent acceptă industria eforturile pentru a oferi îndrumare de securitate care se adresează la implementări în zonele de securitate înaltă. Cu toate acestea, aceste indicații trebuie să fie complet testate în mediul țintă. Vă recomandăm că administratorii de sistem care au nevoie de setările de securitate suplimentare dincolo de setările implicite folosi ghiduri emise de Microsoft ca un punct de plecare pentru cerințele Organizației lor. Pentru asistență sau întrebări despre ghiduri terț, contactați organizație care a emis indicații.

Referințe


Pentru mai multe informații despre setările de securitate, consultați amenințări și contra-măsurile: setările de securitate în Windows Server 2003 și Windows XP. Pentru a descărca acest ghid, vizitați următorul site Web Microsoft:Pentru mai multe informații despre efectul de unele setări de securitate suplimentare, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
823659 client, servicii și program incompatibilităţi care pot apărea atunci când modificați setările de securitate și atribuirile de drepturi de utilizator
Pentru mai multe informații despre efectele care necesită FIPS algoritmi compatibil, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
811833 efectele activarea "sistem criptografie: utilizarea FIPS compatibil cu algoritmi de criptare, hash, și semnarea" setarea de securitate în Windows XP şi versiunile ulterioare
Microsoft furnizează unor terţe persoane informaţiile de contact pentru a vă ajuta să găsiţi sprijin tehnic. Informaţiile de contact se pot schimba fără notificare prealabilă. Microsoft nu garantează exactitatea acestor informații de contact pentru terți.


Pentru informații despre producătorul de hardware, vizitați următorul site Web Microsoft: