Поддержка настройки безопасности

Корпорация Майкрософт

Корпорация Майкрософт предоставляет рекомендации по обеспечению безопасности наших операционных систем. Мы разработали три уровня параметров безопасности:

• Корпоративный клиент (EC)

• Stand-Alone (SA)

• Specialized Security — Limited Functionality (SSLF)

Мы тщательно проверили это руководство на использование во многих сценариях. Рекомендации подходят для всех организаций, которые хотят защитить свои компьютеры на базе Windows.

Мы полностью поддерживаем наши руководства, так как для них проводится широкое тестирование совместимости приложений. Посетите следующие веб-сайты Майкрософт, чтобы скачать наши руководства:

• Руководство по безопасности Для Windows Vista:
  

  http://technet.microsoft.com/en-us/library/bb629420.aspx

• Базовый план безопасности Windows XP:

  http://go.microsoft.com/fwlink/?LinkId=14839

• Базовый план безопасности Windows Server 2003:

  http://go.microsoft.com/fwlink/?linkid=14845

• Руководство по безопасности в Windows 2000:
  

  http://go.microsoft.com/fwlink/?LinkId=28591

Если после реализации руководств майкрософт по безопасности у вас есть проблемы или комментарии, вы можете отправить им сообщение электронной secwish@microsoft.com.



Рекомендации по настройке безопасности для операционной системы Windows, Internet Explorer и набора офисных приложений Office предоставляются в Диспетчере соответствия требованиям безопасности Майкрософт:http://technet.microsoft.com/en-us/library/cc677002.aspx.

Центр безопасности Интернета

CiS разработал тесты для предоставления сведений, которые помогают организациям принимать обоснованные решения об определенных доступных вариантах безопасности. CiS предоставляет три уровня производительности безопасности:

• Устаревшая версия

• Корпоративный

• Высокий уровень безопасности

Если после реализации параметров производительности CIS у вас есть проблемы или комментарии, свяжитесь с CIS, отправив сообщение электронной почты в win2k-feedback@cisecurity.org.

Обратите внимание на то, что руководство CIS изменилось с момента первоначальной публикации этой статьи (3 ноября 2004 г.). Текущее руководство cis похоже на рекомендации корпорации Майкрософт. Дополнительные сведения о рекомендациях, которые корпорация Майкрософт предоставляет, прочитайте раздел "Корпорация Майкрософт" ранее в этой статье.

Национальный института стандартов и технологий

NIST отвечает за создание инструкций по безопасности для федерального правительства США. NIST создал четыре уровня рекомендаций по безопасности, которые используются федеральными агентствами США, частными организациями и общедоступными организациями:

• SoHo

• Устаревшая версия

• Корпоративный

• Специальный безопасность — ограниченные функциональные возможности

Если после внедрения шаблонов безопасности NIST у вас есть проблемы или комментарии, обратитесь в NIST, отправив сообщение электронной почты в itsec@nist.gov.

Обратите внимание, что инструкции NIST изменились с момента первоначальной публикации этой статьи (3 ноября 2004 г.). Текущее руководство NIST похоже на рекомендации корпорации Майкрософт. Дополнительные сведения о рекомендациях, которые корпорация Майкрософт предоставляет, прочитайте раздел "Корпорация Майкрософт" ранее в этой статье.

The Defense Information Systems Agency

Инструкции disA создаются специально для использования в DoD (DOD) США. Пользователи DOD в США, у которых есть проблемы или комментарии после внедрения инструкций по настройке DISA, могут отправить нам сообщение электронной почты fso_spt@ritchie.disa.mil.

Обратите внимание, что инструкции DISA изменились с момента первоначальной публикации этой статьи (3 ноября 2004 г.). Текущее руководство DISA похоже на рекомендации корпорации Майкрософт или аналогичны им. Дополнительные сведения о рекомендациях, которые корпорация Майкрософт предоставляет, прочитайте раздел "Корпорация Майкрософт" ранее в этой статье.

The National Security Agency (NSA)

Служба безопасности США подготовила рекомендации по защите компьютеров с высокой рисками в оборонном отделе США. NSA разработала один уровень инструкций, приблизительно соответствующий уровню высокого уровня безопасности, разработанного другими организациями.

Если после реализации руководств по безопасности NSA для Windows XP у вас есть проблемы или комментарии, вы можете отправить им сообщение электронной почты XPGuides@nsa.gov. Чтобы отправить отзыв о руководствах по Windows 2000, отправьте сообщение электронной почты w2kguides@nsa.gov.

Обратите внимание, что руководство NSA изменилось с момента первоначальной публикации этой статьи (3 ноября 2004 г.). Текущее руководство NSA похоже на рекомендации корпорации Майкрософт или аналогичны им. Дополнительные сведения о рекомендациях, которые корпорация Майкрософт предоставляет, прочитайте раздел "Корпорация Майкрософт" ранее в этой статье.

Изменения списков управления доступом к файловой системе и реестру

В Windows XP и более поздних версиях Windows разрешения в системе значительно сжимались. Поэтому масштабные изменения разрешений по умолчанию не требуется. 

Изменения, внесенные в список управления дискреционным доступом (DACL), могут привести к недействительности всех или большинства тестов совместимости приложений, выполняемых корпорацией Майкрософт. Часто такие изменения не прошли тщательное тестирование, которое корпорация Майкрософт выполняла в других параметрах. Возможности поддержки и возможности полей показывают, что изменения DACL изменяют основное поведение операционной системы часто непредвиденным образом. Эти изменения влияют на совместимость и стабильность работы приложений, а также на снижение функциональности.

Из-за этих изменений не рекомендуется изменять DACLs файловой системы для файлов, включенных в операционную систему в производственных системах. Мы рекомендуем оценить все дополнительные изменения, внесенные в ACL, с известной угрозой, чтобы понять возможные преимущества, которые они могут придать определенной конфигурации. По этой причине в наших руководствах мы внося только минимальные изменения DACL и только в Windows 2000. В Windows 2000 требуется несколько незначительных изменений. Эти изменения описаны в руководстве по обеспечению безопасности Windows 2000.

Масштабные изменения разрешений, которые распространяются в реестре и файловой системе, нельзя отменить. Это может повлиять на новые папки, например папки профилей пользователей, которых не было при исходной установке операционной системы. Поэтому, если удалить параметр групповой политики, который выполняет изменения DACL, или применить системные значения по умолчанию, откат исходных DACLs будет невозможно. 

Изменение DACL в папке %SystemDrive% может привести к следующим сценариям:

• Корзина больше не работает так, как она была создана, и файлы невозможно восстановить.

• Уменьшение безопасности, которое позволяет администратору просматривать содержимое корзины администратора.

• Сбой работы профилей пользователей.

• Уменьшение безопасности, которое обеспечивает интерактивным пользователям доступ для чтения к некоторым профилям или ко всем профилям пользователей в системе.

• Проблемы с производительностью, если много изменений DACL загружаются в объект групповой политики, который включает длительное время выполнения выполнения для работы с проектом или повторяются перезапуски целевой системы.

• Проблемы с производительностью, в том числе снижение производительности системы, каждые 16 часов или менее после повторного изменения параметров групповой политики.

• Проблемы совместимости приложений или сбои приложения.

Чтобы удалить наихудшие результаты таких разрешений для файлов и реестра, корпорация Майкрософт будет оказывать коммерческие меры в соответствии с вашим контрактом на поддержку. Однако откат этих изменений в настоящее время не проводится. Мы можем гарантировать только то, что вы сможете вернуться к рекомендуемой стандартной настройке, переформатировав жесткий диск и переустановив операционную систему.

Например, изменения в DACLs реестра влияют на большие части отделов реестра и могут привести к тому, что системы перестают работать должным образом. Изменение DACLs в одном реестре не представляет большой проблемы для многих систем. Однако мы рекомендуем тщательно продумыть и протестировать эти изменения перед их внедрением. При этом мы можем гарантировать, что только вы сможете вернуться к рекомендуемой стандартной системе, если вы переформатировали и переустановили операционную систему.

Сетевой клиент Майкрософт: цифровая подпись (всегда)

Если этот параметр заблокирован, клиенты должны подписать трафик блока сообщений (SMB) сервера, если они не требуют подписи SMB-серверов. Это делает клиенты менее уязвимыми к сеансам атак. Он имеет значительную ценность, но при этом не включает аналогичное изменение на сервере для включения сетевого сервера Майкрософт: цифровая подпись (всегда) или сетевого клиента Майкрософт:цифровая подпись (если клиент соглашается), клиент не сможет успешно связаться с сервером.

Безопасность сети: не хранить hash value on next password change (Не хранить hash value) в локальном диспетчере

После этого hash value for a new password (LM) для нового пароля не будет храниться в локальном диспетчере (LM). Hash LM is relatively weak and prone to attack compared with the cryptographically stronger Microsoft Windows NT hash. Хотя этот параметр обеспечивает дополнительную защиту системы, предотвращая многие распространенные программы для взлома паролей, он может помешать правильному запуску или запуску некоторых приложений.

Шифрование системы: использование алгоритмов, совместимых с FIPS, для шифрования, с расшифровки и подписания

Если включить этот параметр, службы IIS и Microsoft Internet Explorer будут использовать только протокол TLS 1.0. Если этот параметр включен на сервере с iiS, подключаться могут только веб-браузеры, поддерживаюные TLS 1.0. Если этот параметр включен в веб-клиенте, он может подключаться только к серверам, поддерживаюным протокол TLS 1.0. Это требование может повлиять на возможность клиента посещать веб-сайты, на которые используется SSL. Чтобы получить дополнительные сведения, щелкните номер следующей статьи, чтобы просмотреть ее в базе знаний Майкрософт:

811834 Не удается посетить сайты SSL после того, как вы включении шифрования, совместимого с FIPS, дополнительно, если этот параметр был подключен на сервере, который использует службы терминалов, клиенты должны использовать клиент RDP 5.2 или более поздней версии для
подключения.

Чтобы получить дополнительные сведения, щелкните номер следующей статьи, чтобы просмотреть ее в базе знаний Майкрософт:

811833 Результаты включения "Шифрование системы: использование алгоритмов, совместимых с FIPS, для шифрования, расшифровки и подписания" в Windows XP и более поздних версиях Windows

Служба автоматического обновления или Background Intelligent Transfer Service (BITS) отключена

Одним из основных принципов стратегии безопасности корпорации Майкрософт является обновление системы. Одним из ключевых компонентов этой стратегии является служба автоматического обновления. Как службы Windows Update, так и Software Update используют службу автоматического обновления. Служба автоматического обновления использует функцию Background Intelligent Transfer Service (BITS). Если эти службы отключены, компьютеры больше не смогут получать обновления из Windows Update через автоматические обновления, службы обновления программного обеспечения (SUS) или некоторые установки Microsoft Systems Management Server (SMS). Эти службы следует отключить только в системах с эффективной системой распространения обновлений, которая не зависит от BITS.

Служба NetLogon отключена

Если отключить службу NetLogon, рабочие станции перестают надежно работать как участник домена. Этот параметр может быть уместным для некоторых компьютеров, которые не участвуют в доменах. Тем не менее перед развертыванием его следует тщательно проанализировать.

NoNameReleaseOnDemand

Этот параметр не позволит серверу ото всех своих имен NetBIOS в случае конфликта с другим компьютером в сети. Этот параметр является профилактической мерой для атаки типа "отказ в обслуживании" на серверы доменных имен и другие очень важные роли серверов.

Если включить этот параметр на рабочей станции, она откакается от имени NetBIOS, даже если это имя конфликтет с именем более важной системы, например контроллера домена. Этот сценарий может отключить важные функции домена. Корпорация Майкрософт полностью поддерживает отраслевые рекомендации по обеспечению безопасности, нацеленные на развертывание в области с высоким уровнем безопасности. Однако это руководство необходимо тщательно проверить в целевой среде. Настоятельно рекомендуем системным администраторам, которым требуются дополнительные параметры безопасности, кроме стандартных, использовать руководства, выданные корпорацией Майкрософт, в качестве отправной точки для требований своей организации. Чтобы получить поддержку или задать вопросы о руководствах сторонних организаций, обратитесь в организацию, которая их выдала.