Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Microsoft, centrul pentru Internet Security (CSI), Agenția națională de securitate (NSA), Agenția pentru sisteme de informații pentru apărare (DISA), și Institutul național de standarde și tehnologie (NIST) au publicat "Ghidul de configurare a securității" pentru Microsoft Windows.

Nivelurile ridicate de securitate specificate în unele dintre aceste ghiduri pot restricționa semnificativ funcționalitatea unui sistem. Prin urmare, trebuie să efectuați teste importante înainte de a implementa aceste recomandări. Vă recomandăm să luați măsuri de precauție suplimentare atunci când procedați astfel:

  • Editarea listelor de control al accesului (ACL-uri) pentru fișiere și chei de registry

  • Activați clientul de rețea Microsoft: semnarea digitală a comunicațiilor (întotdeauna)

  • Activați securitatea rețelei: nu stocați valoarea hash LAN Manager la următoarea modificare a parolei

  • Activare criptografie sistem: utilizați algoritmi compatibili FIPS pentru criptare, hash și semnare

  • Dezactivarea serviciului de actualizare automată sau a serviciului de transfer inteligent de fundal (biți)

  • Dezactivarea serviciului Netlogon

  • Activare NoNameReleaseOnDemand

Microsoft acceptă ferm eforturile industriei pentru a oferi instrucțiuni de securitate pentru implementări în zone de înaltă securitate. Cu toate acestea, trebuie să testați temeinic Ghidul în mediul țintă. Dacă aveți nevoie de setări de securitate suplimentare dincolo de setările implicite, vă recomandăm să vedeți ghidurile emise de Microsoft. Aceste ghiduri pot servi drept punct de plecare pentru cerințele organizației dvs. Pentru asistență sau pentru întrebări despre ghiduri de la terți, contactați organizația care a emis Ghidul.

Introducere (articolul poate să fie în limba engleză)

În ultimii câțiva ani, un număr de organizații, inclusiv Microsoft, centrul pentru Internet Security (CSI), Agenția națională de securitate (NSA), Agenția pentru sisteme de informații pentru apărare (DISA) și Institutul național de standarde și tehnologie (NIST) au publicat "Ghidul de configurare a securității" pentru Windows. Ca în cazul oricăror instrucțiuni de securitate, securitatea suplimentară necesară are în mod frecvent un efect advers asupra uzabilitatei.

Mai multe dintre aceste ghiduri, inclusiv ghiduri de la Microsoft, de la CSI și de la NIST, conțin mai multe niveluri de setări de securitate. Aceste ghiduri pot include niveluri proiectate pentru următoarele:

  • Interoperabilitatea cu sistemele de operare mai vechi

  • Medii pentru întreprinderi

  • Securitate îmbunătățită care oferă o funcționalitate limitată

    Notă acest nivel este cunoscut frecvent sub numele de securitate specializată-nivel de funcționalitate limitată sau nivel înalt de securitate.

Cea mai mare securitate sau securitate specializată – funcționalitate limitată, nivelul este proiectat special pentru medii foarte ostile, sub un risc semnificativ de atac. Acest nivel protejează informațiile cu cea mai mare valoare posibilă, cum ar fi informațiile necesare pentru unele sisteme guvernamentale. Nivelul ridicat de securitate din majoritatea acestor orientări publice este nepotrivit pentru majoritatea sistemelor care rulează Windows. Vă recomandăm să nu utilizați nivelul de securitate ridicat pentru stațiile de lucru cu destinație generală. Vă recomandăm să utilizați nivelul de securitate ridicat doar pe sistemele în care compromisul ar determina pierderea vieții, pierderea informațiilor foarte valoroase sau pierderea a mulți bani.

Mai multe grupuri au lucrat cu Microsoft pentru a crea aceste ghiduri de securitate. În multe cazuri, aceste ghiduri abordează amenințări similare. Cu toate acestea, fiecare ghid diferă ușor din cauza cerințelor legale, a politicii locale și a cerințelor funcționale. Din acest motiv, setările pot varia de la un set de recomandări la următorul. Secțiunea "organizațiile care generează ghiduri de securitate accesibile publicului" conține un rezumat al fiecărui ghid de securitate.

Mai multe informații

Organizații care generează instrucțiuni de securitate accesibile publicului

Microsoft Corporation

Microsoft oferă instrucțiuni pentru modul în care puteți contribui la securizarea sistemelor noastre de operare. Am dezvoltat următoarele trei niveluri de setări de securitate:

  • Client de întreprindere (ce)

  • Stand-Alone (SA)

  • Securitate specializată – funcționalitate limitată (SSLF)

Am testat temeinic această orientare pentru a fi utilizată în multe scenarii pentru clienți. Orientarea este adecvată pentru orice organizație care dorește să ajute la securizarea computerelor bazate pe Windows.

Ne susținem pe deplin ghidurile din cauza testelor extinse pe care le-am efectuat în laboratoarele noastre de compatibilitate a aplicațiilor pe acele ghiduri. Vizitați următoarele site-uri Web Microsoft pentru a descărca ghidurile:

Dacă întâmpinați probleme sau aveți comentarii după ce implementați ghiduri de securitate Microsoft, puteți să furnizați feedback prin trimiterea unui mesaj de e-mail către secwish@microsoft.com.



Ghidul de configurare a securității pentru sistemul de operare Windows, pentru Internet Explorer și pentru suita de productivitate Office este furnizat în Microsoft Security Conformity Manager: http://TechNet.Microsoft.com/en-us/library/cc677002.aspx.


Centrul pentru securitatea internetului

SIV a dezvoltat criterii de evaluare pentru a furniza informații care ajută organizațiile să ia decizii informate cu privire la anumite opțiuni de securitate disponibile. SIV a furnizat trei niveluri de referință pentru securitate:

  • Moștenit

  • Enterprise

  • Securitate maximă

Dacă întâmpinați probleme sau aveți comentarii după ce implementați setările de referință CSI, contactați SIV trimițând un mesaj de e-mail către Win2k-feedback@cisecurity.org.

Notă Ghidul SIV s-a modificat de când am publicat inițial acest articol (3 noiembrie 2004). Orientările curente ale SIV seamănă cu recomandările furnizate de Microsoft. Pentru mai multe informații despre instrucțiunile furnizate de Microsoft, citiți secțiunea "Microsoft Corporation" de mai sus în acest articol.

Institutul național de standarde și tehnologie

NIST este responsabil pentru crearea de instrucțiuni de securitate pentru guvernul federal al Statelor Unite. NIST a creat patru niveluri de orientare de securitate care sunt utilizate de către agențiile federale ale Statelor Unite, organizațiile private și organizațiile publice:

  • SoHo

  • Moștenit

  • Enterprise

  • Securitate specializată – funcționalitate limitată

Dacă întâmpinați probleme sau aveți comentarii după ce implementați șabloanele de securitate NIST, contactați NIST trimițând un mesaj de e-mail către ITSEC@nist.gov.

Notă Ghidul NIST s-a modificat de când am publicat inițial acest articol (3 noiembrie 2004). Ghidul curent al NIST seamănă cu Ghidul pe care îl furnizează Microsoft. Pentru mai multe informații despre instrucțiunile furnizate de Microsoft, citiți secțiunea "Microsoft Corporation" de mai sus în acest articol.

Agenția pentru sisteme de informații pentru apărare

DISA creează instrucțiuni în mod specific pentru utilizare în departamentul de apărare al Statelor Unite (DOD). Utilizatorii DOD din Statele Unite care întâmpină probleme sau care au comentarii după ce implementează Ghidul de configurare DISA poate oferi feedback prin trimiterea unui mesaj de e-mail către fso_spt@ritchie.disa.mil.

Notă recomandările DISA s-au modificat de când am publicat inițial acest articol (3 noiembrie 2004). Ghidul curent al DISA este similar sau identic cu Ghidul pe care îl oferă Microsoft. Pentru mai multe informații despre instrucțiunile furnizate de Microsoft, citiți secțiunea "Microsoft Corporation" de mai sus în acest articol.

Agenția națională de securitate (NSA)

NSA a produs instrucțiuni pentru a ajuta la securizarea calculatoarelor cu risc ridicat în Departamentul Apararii (DOD) al Statelor Unite. NSA a dezvoltat un singur nivel de orientare care corespunde cu nivelul de securitate ridicat care este produs de alte organizații.

Dacă întâmpinați probleme sau aveți comentarii după ce implementați ghiduri de securitate pentru NSA pentru Windows XP, puteți oferi feedback prin trimiterea unui mesaj de e-mail către XPGuides@nsa.gov. Pentru a oferi feedback despre ghiduri Windows 2000, trimiteți un mesaj de e-mail la w2kguides@nsa.gov.

Notă Ghidul NSA s-a schimbat de când am publicat inițial acest articol (3 noiembrie 2004). Ghidul curent al NSA este similar sau identic cu Ghidul pe care îl oferă Microsoft. Pentru mai multe informații despre instrucțiunile furnizate de Microsoft, citiți secțiunea "Microsoft Corporation" de mai sus în acest articol.

Probleme de orientare a securității

Așa cum s-a menționat mai sus în acest articol, nivelurile ridicate de securitate descrise în unele dintre aceste ghiduri au fost proiectate pentru a restricționa semnificativ funcționalitatea unui sistem. Din cauza acestei restricții, ar trebui să testați temeinic un sistem înainte de a implementa aceste recomandări.

Notă instrucțiunile de securitate furnizate pentru nivelurile SoHo, Legacy sau Enterprise nu au fost raportate pentru a afecta grav funcționalitatea sistemului. Acest articol din baza de cunoștințe este axat în principal pe orientările asociate cu cel mai înalt nivel de securitate. 

Sprijinim ferm eforturile industriei pentru a oferi instrucțiuni de securitate pentru implementări în zone de înaltă securitate. Continuăm să lucrăm cu grupurile de standarde de securitate pentru a dezvolta orientări utile pentru întărire, care sunt testate complet. Orientările de securitate de la terți sunt emise întotdeauna cu avertismente puternice pentru a testa complet instrucțiunile din medii de înaltă securitate țintă. Totuși, aceste avertismente nu sunt întotdeauna luate în considerare. Asigurați-vă că testați temeinic toate configurațiile de securitate din mediul țintă. Setările de securitate care diferă de cele pe care le recomandăm pot invalida testarea de compatibilitate a aplicațiilor efectuate ca parte a procesului de testare a sistemului de operare. În plus, noi și terții descurajăm în mod specific aplicarea proiectului de orientare într-un mediu de producție în direct, nu într-un mediu de testare.

Nivelurile ridicate ale acestor ghiduri de securitate includ mai multe setări pe care ar trebui să le evaluați cu atenție înainte de a le implementa. Deși aceste setări pot furniza beneficii suplimentare de securitate, este posibil ca setările să aibă un efect advers asupra utilizării sistemului.

Modificările listelor de sisteme de fișiere și control acces registry

Windows XP și versiunile mai recente de Windows au înăsprit în mod semnificativ permisiunile din sistem. Prin urmare, nu trebuie să fie necesare modificări extinse la permisiunile implicite. 

Modificările suplimentare discreționare listă control Access (danalache) pot anula toate sau majoritatea testelor de compatibilitate a aplicațiilor efectuate de Microsoft. Frecvent, modificările precum acestea nu au fost supuse testării aprofundate pe care le-a efectuat Microsoft în alte setări. Cazurile de asistență și experiența de câmp au demonstrat că editările danalache modifică comportamentul fundamental al sistemului de operare, frecvent în moduri neintenționate. Aceste modificări afectează compatibilitatea și stabilitatea aplicațiilor și reduc funcționalitatea, în ceea ce privește performanța și capacitatea.

Din cauza acestor modificări, nu recomandăm să modificați sistemul de fișiere danis în fișierele care sunt incluse în sistemul de operare în sistemele de producție. Vă recomandăm să evaluați orice modificări ACL suplimentare față de o amenințare cunoscută pentru a înțelege orice avantaje potențiale pe care le pot acorda modificările unei anumite configurații. Din aceste motive, ghidurile noastre fac doar modificări foarte minime la danalache și doar la Windows 2000. Pentru Windows 2000, sunt necesare mai multe modificări minore. Aceste modificări sunt descrise în Ghidul de întărire a securității Windows 2000.

Modificările de permisiune extinse care sunt propagate în registry și sistemul de fișiere nu pot fi anulate. Folderele noi, cum ar fi folderele de profil de utilizator care nu au fost prezente la instalarea inițială a sistemului de operare, pot fi afectate. Prin urmare, dacă eliminați o setare de politică de grup care efectuează modificările de la danalache sau dacă aplicați valorile implicite de sistem, nu puteți să reveniți în originalul danalache. 

Modificările la Daniel din folderul% SystemDrive% pot provoca următoarele scenarii:

  • Coșul de reciclare nu mai funcționează ca proiectat și fișierele nu pot fi recuperate.

  • O reducere a securității care permite unui non-administrator să vizualizeze conținutul coșului de reciclare al administratorului.

  • Nereușita profilurilor de utilizator să funcționeze așa cum vă așteptați.

  • O reducere a securității care oferă utilizatorilor interactivi acces la citire la unele sau la toate profilurile de utilizator din sistem.

  • Probleme de performanță atunci când multe editări de la danalache sunt încărcate într-un obiect politică de grup care include timpi de logon lungi sau repornește repetat a sistemului țintă.

  • Problemele de performanță, inclusiv încetinirile sistemului, la fiecare 16 ore sau așa cum se aplică setările politicii de grup.

  • Problemele de compatibilitate ale aplicației sau erorile de aplicație.

Pentru a vă ajuta să eliminați cele mai rele rezultate ale acestor permisiuni de fișier și de registry, Microsoft va oferi eforturi rezonabile din punct de vedere comercial, în conformitate cu contractul de asistență. Cu toate acestea, nu puteți să reveniți în prezent la aceste modificări. Vă putem garanta doar că puteți să reveniți la setările recomandate din afara casetei prin reformatarea unității de hard disk și prin reinstalarea sistemului de operare.

De exemplu, modificările aduse în registrele danalache afectează părți mari din secțiunile de registry și pot determina ca sistemele să nu mai funcționeze așa cum vă așteptați. Modificarea danis pe cheile de registry unice reprezintă o problemă mai mică pentru multe sisteme. Cu toate acestea, vă recomandăm să luați în considerare și să testați cu atenție aceste modificări înainte de a le implementa. Din nou, vă putem garanta doar că puteți reveni la setările recomandate din afara casetei dacă reformatați și reinstalați sistemul de operare.

Clientul de rețea Microsoft: semnarea digitală a comunicațiilor (întotdeauna)

Atunci când activați această setare, clienții trebuie să semneze trafic bloc de mesaje server (SMB) atunci când contactează serverele care nu necesită semnarea SMB. Acest lucru îi face pe clienți mai puțin vulnerabili la atacurile de deturnare a sesiunilor. Oferă o valoare semnificativă, dar fără a permite o modificare similară pe server pentru a activa Microsoft Network Server: semnarea digitală a comunicațiilor (întotdeauna) sau a clientului de rețea Microsoft: semnarea digitală a comunicațiilor (dacă clientul este de acord), clientul nu va putea comunica cu succes cu serverul.

Securitatea rețelei: nu stocați valoarea hash LAN Manager la următoarea modificare a parolei

Atunci când activați această setare, valoarea hash LAN Manager (LM) pentru o parolă nouă nu va fi stocată atunci când se modifică parola. Hash LM este relativ slab și predispus la atacuri comparativ cu Microsoft Windows NT hash criptografic mai puternic. Deși această setare oferă o securitate suplimentară extinsă unui sistem, împiedicând multe utilitare de cracare a parolelor comune, setarea poate împiedica pornirea sau executarea corectă a unor aplicații.

Criptografie sistem: utilizați algoritmi compatibili FIPS pentru criptare, hash și semnare

Atunci când activați această setare, Internet Information Services (IIS) și Microsoft Internet Explorer utilizează doar protocolul 1,0 TLS (Layer Security). Dacă această setare este activată pe un server care rulează IIS, doar browserele web care acceptă TLS 1,0 se pot conecta. Dacă această setare este activată pentru un client web, clientul se poate conecta doar la serverele care acceptă protocolul TLS 1,0. Această cerință poate afecta capacitatea clientului de a vizita site-uri web care utilizează Secure Sockets Layer (SSL). Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

811834 Nu puteți vizita site-uri SSL după ce activați criptografia compatibilă FIPS în
plus, atunci când activați această setare pe un server care utilizează Terminal Services, clienții sunt obligați să utilizeze RDP client 5,2 sau versiuni mai recente pentru a vă conecta.

Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

811833 Efectele activării "criptografie sistem: utilizați algoritmi FIPS compatibili pentru criptare, hash și semnare" în Windows XP și în versiunile mai recente de Windows

Serviciul de actualizare automată sau de fundal Intelligent Transfer Service (BITS) este dezactivat

Unul dintre pilonii cheie ai strategiei de securitate Microsoft este să vă asigurați că sistemele sunt păstrate la curent cu actualizările. O componentă cheie din această strategie este serviciul Actualizări automate. Atât Windows Update, cât și serviciile de actualizare software utilizează serviciul Actualizări automate. Serviciul actualizări automate se bazează pe Background Intelligent Transfer Service (BITS). Dacă aceste servicii sunt dezactivate, computerele nu vor mai putea primi actualizări de la Windows Update prin actualizări automate, de la Software Update Services (SUS) sau de la unele instalări Microsoft Systems Management Server (SMS). Aceste servicii ar trebui să fie dezactivate doar pe sistemele care au un sistem de distribuție eficient de actualizare care nu se bazează pe biți.

Serviciul NetLogon este dezactivat

Dacă dezactivați serviciul NetLogon, o stație de lucru nu mai funcționează fiabil ca membru de domeniu. Această setare poate fi potrivită pentru unele computere care nu participă la domenii. Cu toate acestea, ar trebui să fie evaluată cu atenție înainte de implementare.

NoNameReleaseOnDemand

Această setare împiedică un server să renunțe la numele NetBIOS dacă acesta este în conflict cu alt computer din rețea. Această setare este o măsură preventivă bună pentru atacurile Denial of Service împotriva serverelor de nume și a altor roluri de server foarte importante.

Atunci când activați această setare pe o stație de lucru, stația de lucru refuză să renunțe la numele NetBIOS, chiar dacă numele este în conflict cu numele unui sistem mai important, cum ar fi un controler de domeniu. Acest scenariu poate dezactiva funcționalitatea domeniu important. Microsoft acceptă ferm eforturile industriei pentru a oferi instrucțiuni de securitate care sunt direcționate către implementările în zone de înaltă securitate. Totuși, această orientare trebuie să fie testată temeinic în mediul țintă. Recomandăm foarte mult ca administratorii de sistem care au nevoie de setări de securitate suplimentare, dincolo de setările implicite, să utilizeze ghidurile emise de Microsoft ca punct de pornire pentru cerințele organizației. Pentru asistență sau pentru întrebări despre ghiduri de la terți, contactați organizația care a emis Ghidul.

Referințe

Pentru mai multe informații despre setările de securitate, consultați amenințări și contramăsuri: setările de securitate din Windows Server 2003 și Windows XP. Pentru a descărca acest ghid, vizitați următorul site Web Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Pentru mai multe informații despre efectul unor setări de securitate cheie suplimentare, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

823659 Incompatibilitățile client, service și program care pot apărea atunci când modificați setările de securitate și drepturile de utilizator assignmentsFor mai multe informații despre efectele care necesită algoritmi compatibili FIPS, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

811833 Efectele activării "criptografie sistem: utilizați algoritmi compatibili FIPS pentru criptare, hash și semnare" setarea de securitate în Windows XP și mai târziu versionsMicrosoft furnizează informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Microsoft nu garantează acuratețea informațiilor de contact de la terți.


Pentru informații despre producătorul hardware-ului, vizitați următorul site Web Microsoft:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-mail

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×