Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Ukupne

Microsoft, centar za Internet bezbednost (SS), nacionalna bezbednosna agencija (NSA), agencija za odbrambene informacije sistema (Dija), i nacionalni institut za standarde i tehnologiju (naznaci) objavili su "smernice za bezbednost konfiguracije" za Microsoft Windows.

Visoki nivoi bezbednosti koji su navedeni u nekom od ovih vodiča mogu da ograniče funkcionalnost sistema. Zato treba da obavite značajna testiranja pre nego što primenite ove preporuke. Preporučujemo da preduzmete dodatne mere predostrožnosti kada uradite sledeće:

  • Uređivanje lista Kontrola pristupa (ACL) za datoteke i ključeve registratora

  • Omogućavanje Microsoft Network klijenta: digitalno potpisivanje komunikacija (uvek)

  • Omogućavanje bezbednosti mreže: ne skladištiti Hash vrednost za LAN Manager na sledećoj promeni lozinke

  • Omogućite sistemsku kriptografiju: korišćenje FIPS algoritama za usaglašenje za šifrovanje, Karenje i potpisivanje

  • Onemogućavanje automatske usluge ažuriranja ili usluge inteligentnog prenosa u pozadini (bita)

  • Onemogućavanje usluge Netlogon

  • Omogućavanje "nije Amereleaseasefor "

Microsoft snažno podržava industrijske napore za obezbeđivanje bezbednosnih uputstava za raspoređivanje u visokim oblastima bezbednosti. Međutim, morate temeljno testirati smernice u ciljnoj okolini. Ako su vam potrebne dodatne bezbednosne postavke izvan podrazumevanih postavki, preporučuje se da vidite vođice koje je izdao Microsoft. Ovi vodiči mogu da posluže kao Početna tački za zahteve organizacije. Za podršku ili pitanja o vođicama nezavisnih proizvođača, obratite se organizaciji koja je izdala smernice.

Đenjem

U poslednjih nekoliko godina, broj organizacija, uključujući Microsoft, centar za bezbednost na Internet bezbednosti (ZND), agencija za nacionalnu bezbednost (NSA), agencija za odbrambenu informativnu agenciju (dsa), i nacionalni institut za standarde i tehnologiju (napola), objavili su "smernice konfiguracije" za Windows. Kao i sa svim bezbednosnim vođstvom, dodatna bezbednost koja se zahteva često ima negativan efekat na upotrebljivost.

Nekoliko ovih vodiča, uključujući vodiče od korporacije Microsoft, od CIS-a, i od problema, sadrže više nivoa bezbednosnih postavki. Ovi vodiči mogu da uključe nivoe dizajnirano za sledeće:

  • Međuoperativnost sa starijim operativnim sistemima

  • Poslovna okruženja

  • Poboljšana bezbednost koja pruža ograničene funkcije funkcija

    ovaj nivo se često naziva specijalizovanim nivoom bezbednosti – ograničeno funkcionalnost ili visokim nivoom bezbednosti.

Visoka bezbednost ili specijalizovana bezbednost – ograničena funkcionalnost, nivo je dizajniran posebno za vrlo neprijateljsko okruћenje pod velikim rizikom od napada. Ovaj nivo čuva informacije o najvećoj mogućoj vrednosti, kao što su informacije koje zahtevaju neki vladini sistemi. Visoki nivo bezbednosti većine ovih javnih smernica nije prikladan za većinu sistema koji rade pod operativnim sistemom Windows. Preporučujemo da ne koristite visoki nivo bezbednosti na radnim stanicama. Preporučujemo da koristite visoki nivo bezbednosti samo na sistemima gde kompromisi uzrokuju gubitak života, gubitak veoma vrednih informacija, ili gubitak puno novca.

Nekoliko grupa koje su radile sa programom Microsoft radi proizvodila ove bezbednosne vodiče. U mnogim slučajevima ovi vodiči svi se obraćanju sličnim pretnjama. Međutim, svaki vodič se neznatno razlikuje zbog pravnih uslova, lokalne politike i funkcionalnih zahteva. Zbog toga postavke mogu da se razlikuju od jednog skupa preporuka do sledećeg. Odeljak "organizacije koje proizvode javno dostupno uputstvo za bezbednost" sadrži rezime svakog bezbednosnog vodiča.

Više informacija

Organizacije koje proizvode javno dostupno uputstvo za bezbednost

Microsoft Corporation

Microsoft pruža uputstva kako da osiguramo naše operativne sisteme. Razvili smo sledeća tri nivoa bezbednosnih postavki:

  • Enterprise klijent (EK)

  • Stand-Alone (SA)

  • Specijalizovana bezbednost – ograničena funkcionalnost (SSLF)

Temeljno smo testirali ovaj vodič za korišćenje u mnogim scenarijima klijenata. Vodič je odgovarajuća za bilo koju organizaciju koja želi da pomogne u zaštiti računara zasnovanih na operativnom sistemu Windows.

Potpuno podržavamo vodiče zbog opsežnih ispitivanja koje smo sproveli u laboratorijama za kompatibilnost aplikacija na tim vođicama. Posetite sledeće Microsoft Veb lokacije da biste preuzeli vođice:

Ako imate problema ili imate komentare posle primene Microsoft bezbednosnih vodiča, možete da pružite povratne informacije tako što ćete poslati e-poruku u secwish@microsoft.com.



Smernice konfiguracije bezbednosti za operativni sistem Windows, za Internet Explorer, kao i za Office paket produktivnost, pružaju se u usluzi Microsoft Manager za usaglašenost bezbednosti: http://technet.Microsoft.com/en-US/library/cc677002.aspx.


Centar za bezbednost na internetu

CIS je razvio odrednice da bi omogućio informacije koje pomažu organizacijama da donesu odluke o određenim dostupnim bezbednosnim odlukama. CIS je obezbedio tri nivoa bezbednosnih odrednica:

  • Nasli

  • Objedin

  • Visoka bezbednost

Ako imate problema sa komentarom ili kada primenite vaše postavke za CIS, kontaktirajte CIS tako što ćete poslati e-poruku u win2k-Feedback@cisecurity.org.

Vodič za napomene je promenjen od prvog objavljivanja ovog članka (3. novembar, 2004). Trenutni vodič u CIJEVIMA podseća se smernica koje Microsoft pruža. Više informacija o vođstvom koje Microsoft obezbeđuje pročitajte u odeljku "Microsoft Corporation" u ovom članku.

Nacionalni institut za standarde i tehnologiju

On je odgovoran za stvaranje bezbednosnih uputstava za federalnu vladu sad. Razka je stvorila četiri nivoa obezbeđenja koje koriste federalne agencije, privatne organizacije i javne organizacije:

  • SoHo

  • Nasli

  • Objedin

  • Specijalizovana bezbednost – ograničena funkcionalnost

Ako imate problema sa komentarom ili ako imate komentar posle primene nečega bezbednih bezbednosnih predložaka, obratite se neuopšte tako što ćete poslati e-poruku u itsec@nist.gov.

Vodič za napomene se promenio od kada smo objavili ovaj članak (3. novembar, 2004). Trenutna uputstva za osobe slična su vođstvom koje Microsoft pruža. Više informacija o vođstvom koje Microsoft obezbeđuje pročitajte u odeljku "Microsoft Corporation" u ovom članku.

Agencija za odbrambenu informativnu agenciju

Desa pravi smernice posebno za upotrebu u ministarstvu odbrane sad (DOD). Sjedinjene Države DOD korisnici koji doživljaju probleme ili imaju komentare kada sprovedu smernice za podešavanje DIJE mogu da pruže povratne informacije slanjem e-poruke u fso_spt@ritchie.disa.mil.

Napomena "uputstva" je promenjena od kada smo objavili ovaj članak (3. novembar, 2004). Trenutne smernice DELJE su slične ili identične vođstvom koje Microsoft pruža. Više informacija o vođstvom koje Microsoft obezbeđuje pročitajte u odeljku "Microsoft Corporation" u ovom članku.

Agencija za nacionalnu bezbednost (NSA)

NSA je proizvela uputstva da bi pomogla u zaštiti računara visokog rizika u ministarstvu odbrane sad (DOD). NSA je razvila jedan nivo smernica koji odgovara približno visokom nivou bezbednosti koji proizvode druge organizacije.

Ako imate problema ili imate komentare posle primene Security vodiča za Windows XP, možete da pružite povratne informacije tako što ćete poslati e-poruku u XPGuides@nsa.gov. Da biste obezbedili povratne informacije o Windows 2000 vođicama, pošaljite e-poruku na w2kguides@nsa.gov.

Smernice NSA su promenjene od kada smo objavili ovaj članak (3. novembar, 2004). Trenutne smernice NSA su slične ili identične vođstvom koje Microsoft pruža. Više informacija o vođstvom koje Microsoft obezbeđuje pročitajte u odeljku "Microsoft Corporation" u ovom članku.

Problemi sa smernicama za bezbednost

Kao što je pomenuto u ovom članku, Visoki nivoi bezbednosti koji su opisani u nekom od ovih vodiča osmišljeni su tako da znatno ograniče funkcionalnost sistema. Zbog ovog ograničenja treba temeljno da testirate sistem pre nego što primenite ove preporuke.

Imajte u vidu da smernice za bezbednost koje su obezbeđene za SoHo, zaostavština ili nivo preduzeća nisu strogo uticajna funkcionalnost sistema. Ovaj članak baze znanja je primarno fokusiran na smernice koje su povezane sa najvišim nivoom bezbednosti. 

Mi snažno podržavamo industrijske napore za obezbeđivanje bezbednosnih uputstava za raspoređivanje u visokim oblastima bezbednosti. Nastavljamo da radimo sa grupama bezbednosnih standarda da biste razvili koristan vodič koji se potpuno testira. Bezbednosne smernice nezavisnih proizvođača uvek se izdaju jakim upozorenjima da bi se u potpunosti testirali smernice u ciljnoj velikoj bezbednosti. Međutim, ova upozorenja se ne čuvaju uvek. Uverite se da temeljno testirate sve bezbednosne konfiguracije u ciljnoj okolini. Bezbednosne postavke koje se razlikuju od onih koje preporučujemo mogu da poništavaju testiranje kompatibilnosti aplikacija koje se izvršavaju kao deo procesa testiranja operativnog sistema. Pored toga, mi i treće strane izričito sprečavamo primenu predloga vođstva u uživo okruženje za proizvodnju uživo umesto u probnu životnu sredinu.

Visoki nivoi ovih vodiča za bezbednost uključujući nekoliko postavki koje treba pažljivo da proverite pre nego što ih primenite. Iako ove postavke mogu da obezbede dodatne bezbednosne pogodnosti, postavke mogu negativno da deluju na upotrebljivost sistema.

Izmene sistema datoteka i izmena liste kontrole pristupa registratoru

Windows XP i novije verzije operativnog sistema Windows imaju znatno pojačene dozvole u sistemu. Stoga opseћne promene podrazumevanih dozvola ne bi trebalo da budu neophodne. 

Dodatna promena diskrecione kontrole pristupa (DACL) može da poništi sve ili većinu testiranja kompatibilnosti aplikacija koje obavlja Microsoft. Promene kao što su često ne izvode detaljna ispitivanja koje je Microsoft izvršio u drugim postavkama. Slučajevi podrške i iskustvo u polju za podršku su pokazali da funkcija DACL uređuje promene osnovnog sistema, često na neplanirani način. Ove promene utiču na kompatibilnost aplikacija i stabilnost i smanje funkcionalnost, sa poљtovanjem i performansama i sposobnostima.

Zbog ovih promena, ne preporučujemo da menjate dace sistema datoteka na datotekama koje su uključene u operativni sistem u proizvodnim sistemima. Preporučujemo da procenite bilo koju dodatnu ACL promene od poznate pretnje da biste razumeli potencijalne prednosti koje promene mogu da pozajme određenoj konfiguraciji. Iz ovih razloga, naši vodiči čine samo minimalne promene i samo Windows 2000. Za Windows 2000 potrebno je nekoliko manjih promena. Ove promene su opisane u operativnom sistemu Windows 2000 Security Guide.

Široko promene dozvole koje se šire u okviru registratora i sistem datoteka nije moguće opozvati. Može biti pogođena Nova fascikla, na primer fascikle korisničkih profila koje nisu prisutne na originalnoj instalaciji operativnog sistema. Zato, ako uklanjate postavke smernica grupe koje obavljaju DEJLE promene, ili ako primenjujete podrazumevane postavke sistema, ne možete da vratite originalne Dacve. 

Promene u usluzi DACL u fascikli% SystemDrive% mogu uzrokovati sledeće scenarije:

  • Korpa za otpatke više ne funkcioniše kao što je dizajnirana i nije moguće spasti datoteke.

  • Smanjenje bezbednosti koje omogućava da se prikaže sadržaj korpe za otpatke administratora.

  • Otkazivanje korisničkih profila radi na očekivani način.

  • Smanjenje bezbednosti koje omogućava aktivnim korisnicima sa pristupom čitanja na neke ili sve korisničke profile na sistemu.

  • Problemi sa performansama kada se mnoga dela za Dejl uređivanje učitavaju u objekat smernica grupe koji uključuje dugačko prijavljivanje vremena ili ponavlja ponovno pokretanje ciljnog sistema.

  • Problemi sa performansama, uključujući usporavanja sistema, svakih 16 sati ili kao i postavke smernica grupe.

  • Problemi sa kompatibilnošću aplikacija ili pada aplikacije.

Da biste uklonili najgore rezultate takve dozvole za datoteku i registrator, Microsoft će obezbediti komercijalno razumne napore u skladu sa ugovorom o podršci. Međutim, trenutno ne možete da vratite ove promene. Možemo da garantujemo samo da možete da se vratite na preporučene postavke koje će se vratiti u Box tako što ćete ponovo instalirati operativni sistem.

Na primer, izmene u usluzi "datomeni registratora" utiču na velike delove šala registratora i mogu dovesti do toga da sistemi više ne funkcionišu na očekivani način. Izmena Dejskih tastera na jednim od ključeva registratora predstavlja manji problem za mnoge sisteme. Međutim, preporučujemo da pažljivo razmotrite i testirate ove promene pre nego što ih primenite. Još jednom, možemo da garantujemo samo da možete da se vratite na preporučene postavke koje se nalaze u polju ako ponovo oblikujete i ponovo instalirate operativni sistem.

Microsoft Network klijent: digitalno potpisivanje komunikacija (uvek)

Kada omogućite ovu postavku, klijenti moraju da potpišu saobraćaj poruke servera (SMB) kada se obrate serverima koji ne zahteva SMB potpisivanje. To čini klijente manje ranjivim na sesiju otmice. On pruža značajnu vrednost, ali bez omogućavanja slične promene na serveru da biste omogućili Microsoft Network server: digitalno potpisivanje komunikacija (uvek) ili Microsoft Network Client: digitalno potpisivanje komunikacija (ako se klijent slaže), klijent neće moći uspešno da komunicira sa serverom.

Bezbednost mreže: ne skladištiti Hash vrednost za LAN Manager na sledećoj promeni lozinke

Kada omogućite ovu postavku, Hash vrednost za LAN Manager (LM) za novu lozinku neće se uskladištiti kada se lozinka promeni. Hash hash je relativno slab i sklon je napadu u poređenju sa jačim Microsoft Windows NT hash za šifrovanje. Iako ova postavka pruža opsežnu dodatnu bezbednost na sistem sprečavajući mnoga uobičajena preduzeća za razbijanje lozinki, postavka može da spreči neke aplikacije da ispravno počnu ili rade.

Sistemska kriptografija: korišćenje FIPS algoritama za usaglašenje za šifrovanje, radnje i potpisivanje

Kada omogućite ovu postavku, Internet Information Services (IIS) i Microsoft Internet Explorer koriste samo 1,0 protokol za transport Layer (TLS). Ako je ova postavka omogućena na serveru na kom je pokrenut IIS, samo Veb pregledači koji podržavaju TLS 1,0 mogu da se povežu. Ako je ova postavka omogućena na Veb klijentu, klijent može da se poveže samo sa serverima koji podržavaju TLS 1,0 Protocol. Ovaj uslov može da utiče na sposobnost klijenta da posećuje Veb lokacije koje koriste Secure Sockets Layer (SSL). Dodatne informacije potražite u članku sledeći broj članka da biste videli članak u Microsoft bazi znanja:

811834 Nije moguće posetiti SSL lokacije kada omogućite FIPS usaglašeni kriptografija
pored toga, kada omogućite ovu postavku na serveru koji koristi usluge terminala, klijenti su primorani da koriste RDP klijenta 5,2 ili novije verzije da bi se povezali.

Dodatne informacije potražite u članku sledeći broj članka da biste videli članak u Microsoft bazi znanja:

811833 Efekti omogućavanja "sistemske šifrovane usluge: korišćenje FIPS algoritama za usaglašavanje za šifrovanje, guske i potpisivanje" bezbednosne postavke u operativnom sistemu Windows XP i u novijim verzijama operativnog sistema Windows

Onemogući je automatsko ažuriranje usluge ili usluga za inteligentnu verziju (BITA)

Jedan od ključnih stubova Microsoft Security strategije je da se uverite da su sistemi u toku sa ispravkama. Ključna komponenta ove strategije je usluga Automatic Updates. Usluge Windows Update i softverske ispravke koriste uslugu Automatic Updates. Usluga Automatic Updates se oslanja na uslugu inteligentnog prenosa u pozadini (BITA). Ako se ove usluge sprečavaju, računari više neće moći da primaju ispravke iz usluge Windows Update kroz automatsko ažuriranje, iz usluga softverske ispravke (SUS) ili iz nekih Microsoft Systems Management Server (SMS) instalacija. Ove usluge treba onemogućiti samo na sistemima koji imaju efikasan sistem ažuriranja – distribucija koji se ne oslanja na BITOVE.

Usluga za NetLogon je omogućena

Ako onemogućite uslugu NetLogon, radna stanica više ne funkcioniše pouzdano kao član domena. Ova postavka može biti odgovarajuća za neke računare koji ne učestvuju u domenima. Međutim, treba pažljivo da se proceni pre primene.

Opcija "nije u Americi"

Ova postavka sprečava server da se odrekne svog NetBIOS imena ako nije u vezi sa drugim računarom na mreži. Ova postavka je dobra preventivna mera za napad na servere imena i druge važne uloge servera.

Kada omogućite ovu postavku na radnoj stanici, radna stanica odbija da se odrekne svog NetBIOS imena čak i ako se ime ne podudara sa imenom važnijeg sistema, kao što je kontroler domena. Ovaj scenario može da onemogući važnu funkcionalnost domena. Microsoft snažno podržava industrijske napore da bi vam obezbedila smernice bezbednosti koje su usmerene na raspoređivanje u visokim oblastima bezbednosti. Međutim, ovaj vodič mora se temeljno testirati u ciljnoj okolini. Preporučuje se da administratori sistema koji zahtevaju dodatne bezbednosne postavke izvan podrazumevanih postavki koristite vodiče koje je izdao Microsoft kao početnu vrednost za zahteve organizacije. Za podršku ili pitanja o vođicama nezavisnih proizvođača, obratite se organizaciji koja je izdala smernice.

Insinu

Više informacija o bezbednosnim postavkama potražite u članku pretnje i protivmere: bezbednosne postavke u operativnom sistemu Windows Server 2003 i operativnom sistemu Windows XP. Da biste preuzeli ovaj vodič, posetite sledeću Microsoft Veb lokaciju:

http://go.microsoft.com/fwlink/?LinkId=15159Za više informacija o uticaju dodatnih postavki ključne bezbednosti kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

823659 Nekompatibilnosti klijenata, usluga i programa, do kojih može doći kada izmenite postavke bezbednosti i korisnička prava, više informacija o efektima zahtevanja FIPOVA usaglašenih algoritama, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

811833 Efekti omogućavanja "sistemska kriptografija: koristite FIPS algoritam za usaglašenje za šifrovanje, gršenje i potpisivanje" bezbednosne postavke u operativnom sistemu Windows XP i kasnije versionsMicrosoft pruža kontakt informacije nezavisnih proizvođača kako bi vam pomogle da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez najave. Microsoft ne garantuje tačnost kontakt informacija nezavisnih proizvođača.


Informacije o proizvođaču hardvera potražite na sledećoj Microsoft Veb lokaciji:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn E-pošta

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×