Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Súhrn

Spoločnosť Microsoft, centrum pre Internet Security (CIS), národná bezpečnostná agentúra (NSA), agentúra pre obranné informačné systémy (DISA) a Národný inštitút pre štandardy a technológiu (NIST) uverejnili "pokyny na konfiguráciu zabezpečenia" pre Microsoft Windows.

Vysoké úrovne zabezpečenia, ktoré sú uvedené v niektorých z týchto sprievodcov, môžu výrazne obmedziť funkčnosť systému. Preto by ste mali pred nasadením týchto odporúčaní vykonať značné testovanie. Odporúčame, aby ste pri vykonaní týchto krokov urobili ďalšie opatrenia:

  • Úprava zoznamov accessových ovládacích prvkov (ACL) pre súbory a kľúče databázy Registry

  • Zapnutie klienta siete Microsoft: digitálne podpisovanie komunikácie (vždy)

  • Zapnutie zabezpečenia siete: Neukladanie hodnoty hash programu LAN Manager pri ďalšom zmene hesla

  • Povolenie šifrovania systému: použitie algoritmov vyhovujúcich štandardu FIPS na šifrovanie, hashovanie a podpisovanie

  • Vypnutie služby automatických aktualizácií alebo služby Inteligentný prenos na pozadí (BITS)

  • Vypnutie služby Netlogon

  • Povoliť NoNameReleaseOnDemand

Spoločnosť Microsoft dôrazne podporuje snahy priemyslu o poskytnutie bezpečnostných pokynov pre nasadenie vo vysokom bezpečnostnom prostredí. Pokyny však treba dôkladne otestovať v cieľovom prostredí. Ak potrebujete ďalšie nastavenia zabezpečenia mimo predvoleného nastavenia, dôrazne odporúčame, aby sa vám zobrazili príručky vydané spoločnosťou Microsoft. Tieto príručky môžu slúžiť ako východiskový bod pre požiadavky vašej organizácie. Ak máte technickú podporu alebo máte otázky týkajúce sa príručiek tretích strán, obráťte sa na organizáciu, ktorá vydala usmernenie.

Úvod

Počas posledných niekoľkých rokov boli v rámci systému Windows publikovaných niekoľko organizácií vrátane spoločnosti Microsoft, centra pre Internet Security (CIS), národnej bezpečnostnej agentúry (NSA), agentúry pre obranu informačných systémov (DISA) a Národného inštitútu pre štandardy a technológiu (NIST). Tak ako pri každom bezpečnostnom navádzaní, dodatočná zábezpeka, ktorá sa vyžaduje často, má nepriaznivý vplyv na použiteľnosť.

Niektoré z týchto príručiek vrátane vodiacich čiar od spoločnosti Microsoft, z CIS a z NISTu obsahujú viacero úrovní nastavenia zabezpečenia. Tieto príručky môžu obsahovať úrovne navrhnuté pre nasledovné:

  • Interoperabilita so staršími operačnými systémami

  • Podnikové prostredie

  • Vylepšené zabezpečenie s obmedzenou funkčnosťou

    Poznámka Táto úroveň sa často nazýva špecializovaná úroveň zabezpečenia – obmedzená funkčnosť alebo vysoká úroveň zabezpečenia.

Vysoká bezpečnosť alebo špecializovaná bezpečnosť – obmedzená funkčnosť, úroveň je navrhnutá špeciálne pre veľmi nepriateľské prostredie pod významným rizikom útoku. Táto úroveň zachráni informácie o najvyššej možnej hodnote, ako sú napríklad informácie vyžadované niektorými vládnymi systémami. Vysoká úroveň zabezpečenia väčšiny tohto verejného poradenstva je nevhodná pre väčšinu systémov so systémom Windows. Odporúčame, aby ste nepoužívali vysokú úroveň zabezpečenia na univerzálnych pracovných staniciach. Odporúčame, aby ste použili vysokú úroveň zabezpečenia len v systémoch, v ktorých by kompromis spôsoboval stratu života, stratu veľmi cenných informácií alebo stratu veľkého množstva peňazí.

Niektoré skupiny pracovali so spoločnosťou Microsoft na tvorbu týchto bezpečnostných pokynov. V mnohých prípadoch tieto príručky riešia podobné hrozby. Každá príručka sa však mierne líši z dôvodu právnych požiadaviek, lokálnej politiky a funkčných požiadaviek. Z tohto dôvodu sa nastavenia môžu líšiť od jednej množiny odporúčaní k ďalšiemu. Časť organizácie, ktorá vytvára verejne dostupné pokyny na zabezpečenie, obsahuje súhrn každej príručky zabezpečenia.

Ďalšie informácie

Organizácie, ktoré vytvárajú verejne dostupné bezpečnostné pokyny

Microsoft Corporation

Spoločnosť Microsoft poskytuje návod na pomoc pri zabezpečení vlastných operačných systémov. Vyvinuli sme tieto tri úrovne nastavenia zabezpečenia:

  • Podnikový klient (EK)

  • Stand-Alone (SA)

  • Špecializovaná bezpečnosť – obmedzená funkčnosť (SSLF)

Toto usmernenie sme dôkladne otestovali na použitie v mnohých zákazníckych scenároch. Usmernenie je vhodné pre každú organizáciu, ktorá si želá pomôcť zabezpečiť jej počítače s Windowsom.

Plne podporujeme naše príručky z dôvodu rozsiahleho testovania, ktoré sme vykonali v laboratóriách na kompatibilitu aplikácií v týchto príručkách. Ak si chcete stiahnuť naše príručky, navštívte nasledujúce webové lokality spoločnosti Microsoft:

Ak sa vyskytnú problémy alebo máte komentáre po implementácii sprievodcov zabezpečenia spoločnosti Microsoft, môžete poskytnúť pripomienky odoslaním e-mailovej správy secwish@microsoft.com.



Usmernenie týkajúce sa konfigurácie zabezpečenia pre operačný systém Windows, Internet Explorer a balík Office Productivity Suite je k dispozícii v správcovi dodržiavania súladu s požiadavkami zabezpečenia spoločnosti Microsoft: http://TechNet.Microsoft.com/en-us/library/cc677002.aspx.


Centrum pre zabezpečenie internetu

CIS vypracoval štandardy na poskytnutie informácií, ktoré pomáhajú organizáciám prijímať kvalifikované rozhodnutia o niektorých dostupných možnostiach zabezpečenia. CIS poskytlo tri úrovne bezpečnostných kritérií:

  • Legacy

  • Enterprise

  • Vysoká bezpečnosť

Ak sa vyskytnú problémy alebo máte komentáre po implementácii nastavení benchmarking CIS, kontaktujte CIS odoslaním e-mailovej správy na Win2K-Feedback@cisecurity.org.

Poznámka: usmernenie CIS sa zmenilo, pretože sme pôvodne publikovali tento článok (3. novembra 2004). Súčasné usmernenie CIS sa podobá na usmernenie, ktoré poskytuje spoločnosť Microsoft. Ďalšie informácie o pokynoch, ktoré poskytuje spoločnosť Microsoft, nájdete v časti "spoločnosť Microsoft Corporation" uvedenej vyššie v tomto článku.

Národný inštitút noriem a technológií

NIST je zodpovedný za vytváranie bezpečnostných usmernení pre spolkovú vládu Spojených štátov. NIST vytvoril štyri úrovne bezpečnostných usmernení, ktoré používajú federálne agentúry Spojených štátov, súkromné organizácie a verejné organizácie:

  • SoHo

  • Legacy

  • Enterprise

  • Špecializovaná bezpečnosť – obmedzená funkčnosť

Ak sa vyskytnú problémy alebo máte komentáre po implementácii šablón zabezpečenia NIST, obráťte sa na spoločnosť NIST odoslaním e-mailovej správy na ITSEC@nist.gov.

Poznámka: príručka NIST sa zmenila, pretože sme pôvodne publikovali tento článok (3. novembra 2004). Súčasné usmernenie v službe NIST sa podobá na usmernenie, ktoré poskytuje spoločnosť Microsoft. Ďalšie informácie o pokynoch, ktoré poskytuje spoločnosť Microsoft, nájdete v časti "spoločnosť Microsoft Corporation" uvedenej vyššie v tomto článku.

Agentúra pre informačné systémy obrany

DISA vytvorí usmernenie špeciálne na použitie v rámci ministerstva obrany Spojených štátov (DOD). Spojené štáty DOD používatelia, ktorí majú problémy alebo majú pripomienky po implementácii konfiguračného usmernenia DISA, môžu poskytnúť pripomienky odoslaním e-mailovej správy do fso_spt@ritchie.disa.mil.

Poznámka DISA sa zmenila, pretože sme pôvodne publikovali tento článok (3. novembra 2004). Aktuálne usmernenie DISA je podobné alebo zhodné s pokynmi, ktoré spoločnosť Microsoft poskytuje. Ďalšie informácie o pokynoch, ktoré poskytuje spoločnosť Microsoft, nájdete v časti "spoločnosť Microsoft Corporation" uvedenej vyššie v tomto článku.

Národná bezpečnostná agentúra (NSA)

NSA vyprodukovala usmernenie na pomoc pri zabezpečení vysoko rizikových počítačov v rámci ministerstva obrany Spojených štátov (DOD). NSA vyvinula jednu úroveň usmernení, ktorá zodpovedá približne s vysokou úrovňou zabezpečenia, ktorú vyrábajú iné organizácie.

Ak sa vyskytnú problémy alebo máte pripomienky po implementácii sprievodcov zabezpečenia NSA pre Windows XP, môžete poskytnúť pripomienky odoslaním e-mailovej správy na XPGuides@nsa.gov. Ak chcete poskytnúť pripomienky k vodiacim čiaram Windowsu 2000, odošlite e-mailovú správu w2kguides@nsa.gov.

Poznámka: odporúčania NSA sa zmenili, pretože sme pôvodne publikovali tento článok (3. novembra 2004). Súčasné usmernenie NSA je podobné alebo zhodné s pokynmi, ktoré poskytuje spoločnosť Microsoft. Ďalšie informácie o pokynoch, ktoré poskytuje spoločnosť Microsoft, nájdete v časti "spoločnosť Microsoft Corporation" uvedenej vyššie v tomto článku.

Problémy s pokynmi na zabezpečenie

Ako už bolo spomenuté vyššie v tomto článku, vysoké úrovne zabezpečenia popísané v niektorých z týchto sprievodcov boli navrhnuté tak, aby výrazne obmedzovali funkčnosť systému. Z dôvodu tohto obmedzenia by ste mali dôkladne otestovať systém pred nasadením týchto odporúčaní.

Poznámka: pokyny zabezpečenia, ktoré sú poskytované pre úrovne SoHo, Legacy alebo Enterprise, sa neohlásili tak, aby výrazne ovplyvnili funkčnosť systému. Tento článok databázy Knowledge Base je primárne zameraný na usmernenie, ktoré je priradené k najvyššej úrovni zabezpečenia. 

Dôrazne podporujeme priemyselné úsilie na poskytovanie bezpečnostných usmernení na nasadenie vo vysoko bezpečnostných oblastiach. Budeme pokračovať v práci so skupinami bezpečnostných noriem s cieľom vyvinúť užitočné pokyny na spevnenie, ktoré sú plne testované. Bezpečnostné pokyny od tretích strán sa vždy vydávajú so silným upozornením na úplné otestovanie pokynov v cieľovom prostredí s vysokou úrovňou zabezpečenia. Tieto upozornenia však nie sú vždy vyhodnotené. Skontrolujte, či ste dôkladne otestovali všetky konfigurácie zabezpečenia v cieľovom prostredí. Nastavenie zabezpečenia, ktoré sa líši od tých, ktoré odporúčame, môže spôsobiť neplatnosť testovania kompatibility aplikácií, ktoré sa vykoná ako súčasť procesu testovania operačného systému. Okrem toho sme a tretie strany výslovne odrádzajú od používania návrhu usmernení v živom produkčnom prostredí namiesto v testovacom prostredí.

Vysoká úroveň týchto bezpečnostných sprievodcov obsahuje niekoľko nastavení, ktoré by ste mali pred implementáciou starostlivo vyhodnotiť. Hoci tieto nastavenia môžu poskytnúť ďalšie výhody zabezpečenia, nastavenia môžu mať nepriaznivý vplyv na použiteľnosť systému.

Úpravy zoznamu systémov súborov a ovládacích prvkov Accessu databázy Registry

Windows XP a novšie verzie Windowsu majú výrazne sprísnené povolenia v celom systéme. Preto by nemali byť potrebné rozsiahle zmeny predvolených povolení. 

Ďalšie zmeny voliteľného zoznamu Access Control (DACL) môžu spôsobiť stratu platnosti všetkých alebo väčšiny testov kompatibility aplikácií, ktoré vykonáva spoločnosť Microsoft. Zmeny, ako napríklad tieto, neprešli dôkladným testovaním, ktoré spoločnosť Microsoft vykonala v iných nastaveniach. Prípady podpory a skúsenosti v teréne preukázali, že DACL úpravy menia základné správanie operačného systému, často v neúmyselných spôsoboch. Tieto zmeny ovplyvňujú kompatibilitu aplikácií a stabilitu a znižujú funkčnosť, čo sa týka výkonu aj schopností.

Z dôvodu týchto zmien neodporúčame upraviť DACL systému súborov v súboroch, ktoré sú súčasťou operačného systému vo výrobných systémoch. Odporúčame, aby ste vyhodnotili akékoľvek ďalšie ACL zmeny oproti známej hrozbe, ktorá by porozumela možným výhodám, ktoré môžu tieto zmeny požičať na konkrétnu konfiguráciu. Z týchto dôvodov sa v našich sprievodcoch vykonajú len veľmi minimálne zmeny DACL a len Windows 2000. Pre Windows 2000 sa vyžaduje niekoľko drobných zmien. Tieto zmeny sú popísané v príručke Windows 2000 Security hardening.

Rozsiahle zmeny povolení, ktoré sú propagované v rámci databázy Registry a systému súborov, nie je možné vrátiť späť. Nové priečinky, ako sú napríklad priečinky používateľských profilov, ktoré sa nenachádzajú v pôvodnej inštalácii operačného systému, môžu byť ovplyvnené. Ak odstránite nastavenie skupinovej politiky, ktoré vykoná zmeny DACL alebo použijete systémové predvolené hodnoty, nie je možné vrátiť pôvodné zoznamy DACL. 

Zmeny v zozname DACL v priečinku% SystemDrive% môžu spôsobiť nasledovné scenáre:

  • Kôš už nefunguje tak, ako bol navrhnutý, a súbory nie je možné obnoviť.

  • Zníženie zabezpečenia, ktoré umožňuje nesprávcovi Zobraziť obsah koša správcu.

  • Zlyhanie používateľských profilov funguje podľa očakávaní.

  • Zníženie zabezpečenia, ktoré poskytuje interaktívnym používateľom prístup na čítanie k niektorým alebo všetkým profilom používateľa v systéme.

  • Problémy s výkonom pri načítaní mnohých úprav DACL do objektu skupinovej politiky, ktorý obsahuje dlhé časy prihlásenia alebo opakované reštarty cieľového systému.

  • Problémy s výkonom vrátane spomalenia systému, každých 16 hodín alebo tak, že sa znova použijú nastavenia skupinovej politiky.

  • Problémy s kompatibilitou aplikácií alebo zlyhanie aplikácie.

Na pomoc pri odstránení najhorších výsledkov týchto povolení pre súbor a register bude spoločnosť Microsoft poskytovať komerčne primerané úsilie v rámci vašej zmluvy o podpore. Tieto zmeny sa však momentálne nedajú vrátiť späť. Môžeme zaručiť len to, že sa môžete vrátiť k odporúčaným nastaveniam mimo poľa preformátovaním jednotky pevného disku a opätovným nainštalovaním operačného systému.

Napríklad zmeny v zozname DACL databázy Registry majú vplyv na veľké časti podregisterov databázy Registry a môžu spôsobiť, že systémy nebudú fungovať podľa očakávaní. Úprava DACL v jednoduchých kľúčoch databázy Registry predstavuje menší problém pre mnohé systémy. Pred ich implementáciou však odporúčame dôkladne zvážiť a otestovať tieto zmeny. Ešte raz vám môžeme zaručiť len to, že sa môžete vrátiť k odporúčaným nastaveniam mimo poľa, ak preformátujete a preinštalujete operačný systém.

Klient siete Microsoft: digitálne podpisovanie komunikácie (vždy)

Keď povolíte toto nastavenie, klienti musia pri kontaktovaní serverov, ktoré nevyžadujú podpisovanie blokov SMB, podpísať prenos bloku SMB (Server Message Block). Vďaka tomu sú klienti menej náchylní na útoky na únos relácie. Poskytuje významnú hodnotu, ale bez toho, aby sa na serveri povolila podobná zmena na povolenie sieťového servera Microsoft: digitálne podpisovanie komunikácie (vždy) alebo klienta siete Microsoft: digitálne podpisovanie komunikácie (ak klient súhlasí), klient nebude schopný úspešne komunikovať so serverom.

Zabezpečenie siete: Neukladanie hodnoty hash programu LAN Manager pri ďalšom zmene hesla

Keď povolíte toto nastavenie, hodnota hash programu LAN Manager (LM) pre nové heslo sa pri zmene hesla neuloží. Hash LM je relatívne slabý a je náchylný k útoku v porovnaní s kryptograficky silnejším systémom Microsoft Windows NT hash. Hoci toto nastavenie poskytuje rozsiahlu dodatočnú bezpečnosť pre systém tým, že zabraňuje mnohým bežným pomôckam na vytváranie hesiel, nastavenie môže zabrániť správnemu spusteniu alebo spusteniu niektorých aplikácií.

Šifrovanie systému: použitie algoritmov vyhovujúcich štandardu FIPS na šifrovanie, hashovanie a podpisovanie

Keď povolíte toto nastavenie, internetové informačné služby (IIS) a Microsoft Internet Explorer používajú len protokol TLS (Transport Layer Security) 1,0. Ak je toto nastavenie zapnuté na serveri so spustenou službou IIS, môžu sa pripojiť iba webové prehliadače, ktoré podporujú TLS 1,0. Ak je toto nastavenie zapnuté pre webového klienta, klient sa môže pripojiť iba k serverom, ktoré podporujú protokol TLS 1,0. Táto požiadavka môže ovplyvniť možnosť klienta navštíviť webové lokality, ktoré používajú protokol SSL (Secure Sockets Layer). Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na nasledovné číslo článku:

811834 Po zapnutí šifrovania v súlade so štandardom FIPS nie je možné navštíviť lokality SSL,
Keď povolíte toto nastavenie na serveri, ktorý používa terminálové služby, klienti sú nútení používať klienta RDP 5,2 alebo novšiu verziu na pripojenie.

Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na nasledovné číslo článku:

811833 Vplyv na umožnenie šifrovania systému: používanie algoritmov vyhovujúcich štandardu FIPS na šifrovanie, hashing a podpisovanie nastavenia zabezpečenia v systéme Windows XP a v novších verziách Windowsu

Služba automatických aktualizácií alebo Inteligentný prenos na pozadí (BITS) je zakázaná

Jedným z kľúčových pilierov stratégie zabezpečenia spoločnosti Microsoft je uistiť sa, že systémy sú v aktualizáciách priebežne aktuálne. Kľúčovou zložkou v tejto stratégii je služba automatických aktualizácií. Služby aktualizácií Windowsu a aktualizácií softvéru používajú službu Automatické aktualizácie. Služba Automatické aktualizácie sa opiera o službu Inteligentný prenos na pozadí (BITS). Ak sú tieto služby vypnuté, počítače už nebudú môcť prijímať aktualizácie zo služby Windows Update prostredníctvom automatických aktualizácií zo služieb Software Update Services (SUS) alebo z niektorých inštalácií služby Microsoft Systems Management Server (SMS). Tieto služby by mali byť vypnuté len v systémoch, ktoré majú účinný systém distribúcie aktualizácií, ktorý sa nespolieha na bity.

Služba NetLogon je vypnutá

Ak zakážete službu NetLogon, pracovná stanica prestane spoľahlivo fungovať ako člen domény. Toto nastavenie môže byť vhodné pre niektoré počítače, ktoré sa nezúčastňujú v doménach. Pred nasadením sa však treba dôkladne vyhodnotiť.

NoNameReleaseOnDemand

Toto nastavenie zabraňuje tomu, aby server vzdal svoj názov NetBIOS v prípade, že je v konflikte s iným počítačom v sieti. Toto nastavenie je vhodným preventívnym opatrením na odmietnutie útokov na služby na názvové servery a ďalšie veľmi dôležité roly servera.

Keď povolíte toto nastavenie na pracovnej stanici, pracovná stanica odmieta vzdať svojho názvu NetBIOS, aj keď názov je v konflikte s názvom dôležitejší systém, ako je napríklad radič domény. Tento scenár môže oslabiť funkčnosť dôležitých domén. Spoločnosť Microsoft dôrazne podporuje snahy priemyslu o poskytnutie bezpečnostných pokynov, ktoré sú zamerané na nasadenie v oblastiach s vysokou úrovňou zabezpečenia. Toto usmernenie však treba dôkladne otestovať v cieľovom prostredí. Dôrazne odporúčame, aby správcovia systému, ktorí požadujú ďalšie nastavenia zabezpečenia mimo predvoleného nastavenia, používali príručky vydané spoločnosťou Microsoft ako východiskový bod pre požiadavky svojej organizácie. Ak máte technickú podporu alebo máte otázky týkajúce sa príručiek tretích strán, obráťte sa na organizáciu, ktorá vydala usmernenie.

Odkazy

Ďalšie informácie o nastaveniach zabezpečenia nájdete v téme hrozby a protiopatrenia: nastavenia zabezpečenia vo Windows serveri 2003 a Windowse XP. Ak chcete stiahnuť túto príručku, navštívte nasledujúcu webovú lokalitu spoločnosti Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Ďalšie informácie o vplyve niektorých ďalších kľúčových nastavení zabezpečenia nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na nasledovné číslo článku:

823659 Nekompatibility klientov, služieb a programov, ktoré sa môžu vyskytnúť pri úprave nastavenia zabezpečenia a používateľských práv assignmentsFor ďalšie informácie o účinkoch vyžadujúcich algoritmy kompatibilné s normou FIPS, po kliknutí na nasledujúce číslo článku databázy Microsoft Knowledge Base:

811833 Vplyv na umožnenie šifrovania systému: používanie algoritmov vyhovujúcich štandardu FIPS na šifrovanie, hashing a podpisovanie nastavenia zabezpečenia vo Windowse XP a novšom versionsMicrosoft poskytuje kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft neručí za správnosť týchto kontaktných informácií iných výrobcov.


Ďalšie informácie o výrobcovi hardvéru nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-mail

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×