สนับสนุนคำแนะนำการตั้งค่าคอนฟิกความปลอดภัย


สรุป


Microsoft ศูนย์กลางสำหรับการรักษาความปลอดภัยทางอินเทอร์เน็ต (CIS), หน่วยงานด้านความปลอดภัยแห่งชาติ (NSA), การป้องกันข้อมูลระบบหน่วยงาน (ปิ), และชาติสถาบันมาตรฐาน และเทคโนโลยี (NIST) ได้ประกาศ "ตั้งค่าคอนฟิกแนวทางความปลอดภัย" สำหรับ Microsoft Windows

ระดับความปลอดภัยสูงที่ระบุอยู่ในข้อแนะนำเหล่านี้บางอย่างอาจจำกัดฟังก์ชันการทำงานของระบบอย่างมาก ดังนั้น คุณควรดำเนินการทดสอบมีนัยสำคัญก่อนที่คุณปรับใช้คำแนะนำเหล่านี้ เราขอแนะนำให้ คุณดำเนินมาตรการป้องกันเพิ่มเติมเมื่อคุณดำเนินดังต่อไปนี้:
  • แก้ไขรายการควบคุมการเข้าถึง (Acl) สำหรับแฟ้มและรีจิสทรีคีย์
  • เปิดใช้งานไคลเอนต์ในเครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ)
  • เปิดใช้งานความปลอดภัยของเครือข่าย: ไม่เก็บค่าแฮผู้จัดการ LAN ในการเปลี่ยนแปลงรหัสผ่านถัดไป
  • เปิดใช้งานSystem cryptography: ใช้ FIPS เข้ากันได้กับอัลกอริทึมสำหรับการเข้ารหัสลับ hashing และเซ็นชื่อ
  • ปิดใช้งานการบริการการปรับปรุงอัตโนมัติหรือ Background Intelligent Transfer Service (BITS)
  • บริการ netlogon จะปิดการใช้งาน
  • เปิดใช้งานNoNameReleaseOnDemand
นอกจากนี้ Microsoft ขอแนะนำสนับสนุนความพยายามอุตสาหกรรมเพื่อให้คำแนะนำด้านความปลอดภัยสำหรับการปรับใช้ในพื้นที่ที่มีความปลอดภัยสูง อย่างไรก็ตาม คุณต้องอย่างถี่ถ้วนทดสอบคำแนะนำในสภาพแวดล้อมเป้าหมาย ถ้าคุณต้องการตั้งค่าการรักษาความปลอดภัยเพิ่มเติมนอกเหนือจากค่าเริ่มต้น เราขอแนะนำให้ คุณดูการแนะนำการออกโดย Microsoft ข้อแนะนำเหล่านี้สามารถทำหน้าที่เป็นจุดเริ่มต้นสำหรับความต้องการขององค์กรของคุณ สำหรับการสนับสนุน หรือ สำหรับคำถามเกี่ยวกับข้อแนะนำอื่น ๆ ติดต่อองค์กรที่คำแนะนำการออกใช้

บทนำ


ช่วงผ่านมาหลายปี หมายเลขขององค์กร รวมทั้ง Microsoft ศูนย์กลางสำหรับการรักษาความปลอดภัยทางอินเทอร์เน็ต (CIS), หน่วยงานด้านความปลอดภัยแห่งชาติ (NSA), การป้องกันข้อมูลระบบหน่วยงาน (ปิ), และชาติสถาบันมาตรฐาน และเทคโนโลยี (NIST), ได้ประกาศ "ตั้งค่าคอนฟิกแนวทางความปลอดภัย" สำหรับ Windows เช่นเดียวกับคำแนะนำความปลอดภัยใด ๆ ความปลอดภัยเพิ่มเติมที่จำเป็นบ่อยครั้งมีผลเสียต่อในการใช้งานที่เหมาะ

ข้อแนะนำเหล่านี้ รวมทั้งการแนะนำ จาก Microsoft จาก CIS และ NIST หลายประกอบด้วยหลายระดับของการตั้งค่าความปลอดภัย ข้อแนะนำเหล่านี้อาจรวมถึงระดับที่ออกแบบมาสำหรับต่อไปนี้:
  • ทำงานร่วมกันกับระบบปฏิบัติการรุ่นเก่า
  • สภาพแวดล้อมขององค์กร
  • ความปลอดภัยขั้นสูงที่มีฟังก์ชันที่จำกัด

    หมายเหตุ ระดับนี้มักเรียกว่าขึ้นพิเศษความปลอดภัย – ฟังก์ชันที่จำกัดระดับหรือระดับความปลอดภัยที่สูงขึ้น
ระดับความปลอดภัยที่สูงขึ้นพิเศษความปลอดภัย – ฟังก์ชันที่จำกัด หรือถูกออกแบบมาเป็นพิเศษสำหรับสภาพแวดล้อมภายใต้ความเสี่ยงที่สำคัญของการโจมตีที่ประสงค์ร้ายมาก ระดับนี้ปกป้องข้อมูลของค่าสูงสุดได้ เช่นข้อมูลที่จำเป็น โดยรัฐบาลระบบบางอย่าง ระดับความปลอดภัยสูงสุดของคำแนะนำ'สาธารณะ'นี้ไม่เหมาะสมกับระบบส่วนใหญ่ที่ใช้ Windows เราขอแนะนำว่า คุณไม่ได้ใช้ระดับความปลอดภัยสูงบนเวิร์กสเตชันเอนกประสงค์ เราขอแนะนำให้ คุณใช้ระดับความปลอดภัยสูงในระบบเท่านั้นที่ไม่สมบูรณ์จะทำให้สูญเสียการอายุการใช้งาน การสูญหายของข้อมูลที่เป็นประโยชน์มาก หรือสูญเสียการเงินเป็นจำนวนมาก

หลายกลุ่มที่ทำงานกับ Microsoft เพื่อจัดทำข้อแนะนำการรักษาความปลอดภัยเหล่านี้ ในหลายกรณี เหล่านี้แนะนำภัยคุกคามที่คล้ายกันอยู่ทั้งหมด อย่างไรก็ตาม แต่ละรายการแนะนำแตกต่างเล็กน้อยเนื่องจาก มีข้อกำหนดทางกฎหมาย นโยบายท้องถิ่น และความต้องการทำงาน ด้วยเหตุนี้ การตั้งค่าอาจแตกต่างไปจากคำแนะนำหนึ่งชุดไปยัง "องค์กรที่จัดทำคำแนะนำความปลอดภัยสาธารณ" ส่วนประกอบด้วยบทสรุปของแต่ละคำแนะนำด้านความปลอดภัย

ข้อมูลเพิ่มเติม


องค์กรที่จัดทำคำแนะนำด้านความปลอดภัยที่พร้อมใช้งานอย่างเปิดเผย

Microsoft Corporation

Microsoft ให้คำแนะนำสำหรับวิธีการช่วยป้องกันระบบปฏิบัติการของเราเอง เราได้รับการพัฒนาขึ้นสามระดับต่อไปนี้ตั้งค่าความปลอดภัย:
  • ไคลเอ็นต์ขององค์กร (EC)
  • แบบสแตนด์อโลน (SA)
  • ความปลอดภัยที่มีความเชี่ยวชาญ – ฟังก์ชันที่จำกัด (SSLF)
เราทำทดสอบนี้คำแนะนำสำหรับการใช้ในหลายสถานการณ์ของลูกค้า คำแนะนำที่เหมาะสมสำหรับองค์กรใด ๆ ที่ต้องการช่วยรักษาความปลอดภัยของคอมพิวเตอร์ที่ใช้ Windows

นอกจากนี้เราทั้งหมดสนับสนุนของเราแนะนำเนื่องจาก มีการครอบคลุมการทดสอบที่เราได้ดำเนินการใน laboratories ความเข้ากันได้ของเราแอพลิเคชันบนเส้นบอกแนวเหล่านั้น แวะไปที่เว็บไซต์ Microsoft ต่อไปนี้เพื่อดาวน์โหลดข้อแนะนำของเรา:ถ้าคุณประสบปัญหา หรือมีข้อคิดเห็นหลังจากที่คุณดำเนินการแนะนำการรักษาความปลอดภัย Microsoft คุณสามารถให้คำติชมได้ โดยส่งข้อความอีเมลไปsecwish@microsoft.com



คำแนะนำในการกำหนดค่าความปลอดภัย สำหรับระบบปฏิบัติการ Windows สำหรับ Internet Explorer และประสิทธิภาพการทำงานชุดโปรแกรม Office ไว้ในผู้จัดการฝ่ายปฏิบัติตามกฎระเบียบด้านความปลอดภัย Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx


ศูนย์กลางสำหรับการรักษาความปลอดภัยของอินเทอร์เน็ต

CIS ได้พัฒนามาตรฐานภายในเพื่อให้ข้อมูลที่ช่วยให้องค์กรทราบข้อมูลตัดสินใจเกี่ยวกับตัวเลือกความปลอดภัยที่พร้อมใช้งานบางอย่าง CIS ได้เตรียมไว้สามระดับของการวัดความปลอดภัย:
  • ดั้งเดิม
  • องค์กร
  • ความปลอดภัยสูง
ถ้าคุณประสบปัญหา หรือมีข้อคิดเห็นหลังจากที่คุณดำเนินการตั้งค่าเกณฑ์มาตรฐาน CIS ติดต่อ CIS โดยส่งข้อความอีเมลไปwin2k-feedback@cisecurity.org

หมายเหตุ คำแนะนำของ CIS มีการเปลี่ยนแปลงตั้งแต่ครั้งแรกที่เราเผยแพร่บทความนี้ (3 พฤศจิกายน 2004) คำแนะนำในปัจจุบันของ CIS คล้ายคลึงกับแนวทางที่ Microsoft จัดเตรียม สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ Microsoft จัดเตรียม อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้

ชาติ Institute ของมาตรฐานและเทคโนโลยี

NIST เป็นผู้รับผิดชอบสำหรับการสร้างคำแนะนำด้านความปลอดภัยสำหรับรัฐบาลของสหรัฐอเมริกา NIST มีสร้างระดับที่สี่ของคำแนะนำด้านความปลอดภัยที่ใช้ โดยหน่วย งานของรัฐบาลกลางสหรัฐอเมริกา องค์กรเอกชน และองค์กรสาธารณะ:
  • SoHo
  • ดั้งเดิม
  • องค์กร
  • ความปลอดภัยที่มีความเชี่ยวชาญ – ฟังก์ชันที่จำกัด
ถ้าคุณประสบปัญหา หรือมีข้อคิดเห็นหลังจากที่คุณนำแม่แบบการรักษาความปลอดภัย NIST ติดต่อ NIST โดยส่งข้อความอีเมลไปitsec@nist.gov

หมายเหตุ คำแนะนำของ NIST มีการเปลี่ยนแปลงตั้งแต่ครั้งแรกที่เราเผยแพร่บทความนี้ (3 พฤศจิกายน 2004) คำแนะนำในปัจจุบันของ NIST คล้ายคลึงกับแนวทางที่ Microsoft จัดเตรียม สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ Microsoft จัดเตรียม อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้

ตัวแทนป้องกันข้อมูลระบบ

ปิสร้างคำแนะนำสำหรับการใช้งานโดยเฉพาะในในสหรัฐอเมริกาแผนกของป้องกัน (DOD) ผู้ใช้ DOD ของสหรัฐอเมริกาที่ประสบปัญหา หรือมีข้อคิดเห็นหลังจากที่พวกเขาใช้คำแนะนำการตั้งค่าคอนฟิกปิ สามารถให้ผลตอบสนอง ด้วยการส่งข้อความอีเมลไปfso_spt@ritchie.disa.mil

หมายเหตุ คำแนะนำของปิมีการเปลี่ยนแปลงตั้งแต่ครั้งแรกที่เราเผยแพร่บทความนี้ (3 พฤศจิกายน 2004) คำแนะนำในปัจจุบันของปิจะคล้ายกัน หรือเหมือนกับคำแนะนำที่ให้ Microsoft สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ Microsoft จัดเตรียม อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้

หน่วยงานด้านความปลอดภัยของชาติ (NSA)

NSA สร้างคำแนะนำเพื่อช่วยรักษาความปลอดภัยคอมพิวเตอร์ที่ high-risk ในแบบสหรัฐอเมริกาแผนกของป้องกัน (DOD) NSA ได้พัฒนาระดับเดียวของคำแนะนำที่สอดคล้องกับระดับความปลอดภัยสูงที่ผลิต โดยองค์กรอื่น ๆ โดยประมาณ

ถ้าคุณประสบปัญหา หรือมีข้อคิดเห็นหลังจากที่คุณดำเนินการ NSA ความปลอดภัยข้อแนะนำสำหรับ Windows XP คุณสามารถให้คำติชมได้ โดยส่งข้อความอีเมลไปXPGuides@nsa.gov เมื่อต้องการให้ผลป้อนกลับเกี่ยวกับการแนะนำ Windows 2000 ส่งข้อความอีเมw2kguides@nsa.gov

หมายเหตุ คำแนะนำของ NSA มีการเปลี่ยนแปลงตั้งแต่ครั้งแรกที่เราเผยแพร่บทความนี้ (3 พฤศจิกายน 2004) คำแนะนำในปัจจุบันของ NSA จะคล้ายกัน หรือเหมือนกับคำแนะนำที่ให้ Microsoft สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ Microsoft จัดเตรียม อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้

ปัญหาคำแนะนำด้านความปลอดภัย

ตามที่กล่าวถึงก่อนหน้าในบทความนี้ ระดับความปลอดภัยสูงที่อธิบายในบางข้อแนะนำเหล่านี้ถูกออกแบบมาเพื่อจำกัดการทำงานของระบบอย่างมาก เนื่องจากข้อจำกัดนี้ คุณควรอย่างถี่ถ้วนทดสอบระบบก่อนที่คุณปรับใช้คำแนะนำเหล่านี้

หมายเหตุ  คำแนะนำด้านความปลอดภัยที่ให้ไว้สำหรับระดับ SoHo ดั้งเดิม หรือองค์กรไม่มีการรายงานอย่างร้ายแรงมีผลต่อฟังก์ชันการทำงานของระบบ บทความฐานข้อมูลองค์ความรู้นี้เป็นหลักให้ความสำคัญคำแนะนำที่เกี่ยวข้องกับการรักษาความปลอดภัยระดับสูงสุด

เราขอแนะนำสนับสนุนความพยายามของอุตสาหกรรมเพื่อให้คำแนะนำด้านความปลอดภัยสำหรับการปรับใช้ในพื้นที่ที่มีความปลอดภัยสูง เรายังสามารถใช้งานกับกลุ่มมาตรฐานความปลอดภัยเพื่อพัฒนาแนวทางที่เข้มงวดมีประโยชน์ที่จะทดสอบทั้งหมด แนวทางการรักษาความปลอดภัยจากฝ่ายที่สามเสมอออก ด้วยคำเตือนที่คาดเดายากเพื่อทดสอบคำแนะนำในสภาพแวดล้อมที่ปลอดภัยสูงเป้าหมายทั้งหมด อย่างไรก็ตาม คำเตือนเหล่านี้จะไม่เสมอ heeded ตรวจสอบให้แน่ใจว่า คุณอย่างถี่ถ้วนทดสอบการตั้งค่าคอนฟิกความปลอดภัยทั้งหมดในสภาพแวดล้อมของเป้าหมาย ตั้งค่าความปลอดภัยที่แตกต่างจากที่แนะนำอาจทำให้ทดสอบโปรแกรมประยุกต์เข้ากันได้ที่มีดำเนินการเป็นส่วนหนึ่งของระบบปฏิบัติการทดสอบกระบวนการ นอกจากนี้ เราและฝ่ายที่สามโดยเฉพาะป้องกันไม่ให้มีการใช้คำแนะนำแบบร่างในระบบการผลิตที่ถ่ายทอดสดแทนในสภาพแวดล้อมการทดสอบ

ระดับสูงของการแนะนำความปลอดภัยเหล่านี้รวมถึงการตั้งค่าต่าง ๆ ที่คุณควรอย่างระมัดระวังก่อนที่คุณใช้การประเมินผล ถึงแม้ว่าการตั้งค่าเหล่านี้อาจมีประโยชน์การรักษาความปลอดภัยเพิ่มเติม การตั้งค่าอาจมีผลเสียต่อในการใช้ของระบบ

แฟ้มระบบและรีจิสทรีเข้าถึงตัวควบคุมรายการการปรับเปลี่ยน

Windows XP และรุ่นที่ใหม่กว่าของ Windows ได้อย่างมาก tightened สิทธิ์ทั่วทั้งระบบ ดังนั้น ครอบคลุมการเปลี่ยนแปลงค่าเริ่มต้นไม่ควรจำเป็น

เปลี่ยนแปลงรายการ (DACL) ของตัวควบคุมเข้าทดแทนเพิ่มเติมอาจทำให้ทั้งหมดหรือส่วนใหญ่ของการทดสอบความเข้ากันได้ในโปรแกรมประยุกต์ที่ดำเนินการ โดย Microsoft บ่อย เปลี่ยนแปลงลักษณะนี้ได้ไม่รับการอย่างละเอียดทดสอบที่ Microsoft ได้กระทำกับการตั้งค่าอื่น ๆ กรณีและปัญหาสนับสนุนและประสบการณ์ใช้งานฟิลด์ให้แสดงว่า แก้ไข DACL เปลี่ยนแปลงลักษณะการทำงานขั้นพื้นฐานของระบบปฏิบัติการ บ่อยครั้งในลักษณะที่ไม่ต้อง การเปลี่ยนแปลงเหล่านี้มีผลต่อความเข้ากันได้ของโปรแกรมประยุกต์และเสถียรภาพ และลดฟังก์ชันการทำงาน เกี่ยวข้องกับประสิทธิภาพและความสามารถทั้ง

เนื่องจาก มีการเปลี่ยนแปลงเหล่านี้ เราไม่แนะนำให้ คุณปรับเปลี่ยนแฟ้มระบบ DACLs บนแฟ้มที่มีอยู่ในระบบปฏิบัติการในระบบการผลิต เราขอแนะนำให้ คุณประเมินการเปลี่ยนแปลงใน ACL ใด ๆ เพิ่มเติมกับการคุกคามที่รู้จักเพื่อทำความเข้าใจข้อดีใด ๆ ที่เป็นไปได้ซึ่งการเปลี่ยนแปลงอาจยืมการกำหนดค่าเฉพาะ ด้วยเหตุนี้ ข้อแนะนำของเราทำการเปลี่ยนแปลง DACL น้อยมากเท่านั้นและ กับ Windows 2000 เท่านั้น การเปลี่ยนแปลงเพียงเล็กน้อยหลายอย่างจำเป็นสำหรับ Windows 2000 การเปลี่ยนแปลงเหล่านี้มีอธิบายอยู่ในWindows 2000 ความปลอดภัยเข้มงวดคำแนะนำนี้

เปลี่ยนแปลงสิทธิ์ที่ครอบคลุมที่จะเผยแพร่ทั่วทั้งรีจิสทรีและแฟ้มระบบไม่สามารถเลิกทำ โฟลเดอร์ใหม่ เช่นโฟลเดอร์ส่วนกำหนดค่าผู้ใช้ที่ไม่มีอยู่ในการติดตั้งระบบปฏิบัติการ ต้นฉบับ อาจจะได้รับผลกระทบ ดังนั้น ถ้าคุณเอาการตั้งค่านโยบายกลุ่มที่ทำการเปลี่ยนแปลง DACL หรือคุณสามารถใช้ค่าเริ่มต้นระบบ คุณไม่สามารถย้อนกลับ DACLs เดิม

เปลี่ยนเป็น DACL ในโฟลเดอร์% SystemDrive %ที่อาจก่อให้เกิดสถานการณ์ต่อไปนี้:
  • ถังรีไซเคิลไม่ฟังก์ชันเป็นการออกแบบ และไม่สามารถกู้คืนแฟ้ม
  • การลดลงของหลักทรัพย์ที่ทำให้มุมมองที่ไม่ใช่ผู้ดูแลเนื้อหาของถังรีไซเคิลของผู้ดูแลระบบ
  • ความล้มเหลวของโพรไฟล์ผู้ใช้เพื่อให้สามารถทำงานตามที่คาดไว้
  • การลดลงของหลักทรัพย์ที่มีผู้ใช้แบบโต้ตอบกับการเข้าถึงแบบอ่านบางส่วน หรือโพรไฟล์ผู้ใช้ทั้งหมดในระบบ
  • ปัญหาด้านประสิทธิภาพเมื่อโหลดแก้ไข DACL มากไปยังวัตถุนโยบายกลุ่มที่มีเวลาในการเข้าสู่ระบบแบบยาวหรือเริ่มระบบใหม่ซ้ำของระบบปลายทาง
  • ปัญหาประสิทธิภาพการทำงาน รวมถึงระบบ slowdowns ทุก ๆ 16 ชั่วโมงหรือ เพื่อเป็น'นโยบายกลุ่ม ' การตั้งค่าจะถูกนำมาใช้อีกครั้ง
  • ปัญหาความเข้ากันได้ของโปรแกรมประยุกต์หรือโปรแกรมประยุกต์ล้มเหลว
เพื่อช่วยให้คุณสามารถเอาผลลัพธ์ที่แย่ที่สุดของสิทธิ์ในแฟ้มและรีจิสทรีดังกล่าว Microsoft จะให้ความพยายามที่สมเหตุสมผลพยายามแนวเดียวกับสัญญาด้านการสนับสนุนของคุณ อย่างไรก็ตาม คุณไม่สามารถอยู่ย้อนกลับการเปลี่ยนแปลงเหล่านี้ เราสามารถรับประกันเท่านั้นที่ คุณสามารถกลับไปยังการตั้งค่าออกแบบครั้งที่แนะนำ โดยการฟอร์แมตไดรฟ์ฮาร์ดดิสก์ใหม่ และติดตั้งระบบปฏิบัติ

ตัวอย่างเช่น ปรับเปลี่ยนรีจิสทรี DACLs มีผลต่อส่วนใหญ่ของกลุ่มรีจิสทรี และอาจทำให้ระบบให้ไม่ทำงานตามที่คาดไว้ การปรับเปลี่ยน DACLs บน poses คีย์รีจิสทรีเดียวน้อยมีปัญหากับระบบต่าง ๆ มากมาย อย่างไรก็ตาม เราขอแนะนำให้ คุณอย่างรอบคอบพิจารณา และทดสอบการเปลี่ยนแปลงเหล่านี้ก่อนที่คุณใช้รายการเหล่านั้น อีกครั้ง เราสามารถรับประกันได้เพียงว่า คุณสามารถส่งคืนการตั้งค่าการออกแบบครั้งที่แนะนำถ้าคุณฟอร์แมตใหม่ และติดตั้งระบบปฏิบัติการ

ไคลเอ็นต์ของเครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ)

เมื่อคุณเปิดใช้งานการตั้งค่านี้ ไคลเอนต์ต้องเซ็นทราฟฟิคบล็อกข้อความเซิร์ฟเวอร์ (SMB) เมื่อพวกเขาติดต่อเซิร์ฟเวอร์ที่ต้องการลงลายมือชื่อใน SMB ซึ่งทำให้ไคลเอนต์น้อยเสี่ยงต่อกับเซสชัน hijacking โจมตี โดยจะให้ค่าที่มีนัยสำคัญ แต่ไม่ มีการเปิดใช้งานคล้ายเปลี่ยนบนเซิร์ฟเวอร์การเปิดใช้งานเซิร์ฟเวอร์เครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ)หรือไคลเอนต์ในเครือข่าย Microsoft: สื่อสารแบบลายมือชื่อ (หากไคลเอนต์ตกลง)ไคลเอนต์จะไม่สามารถสื่อสารกับเซิร์ฟเวอร์เรียบร้อยแล้ว

ความปลอดภัยของเครือข่าย: ไม่เก็บค่าแฮผู้จัดการ LAN ในการเปลี่ยนแปลงรหัสผ่านถัดไป

เมื่อคุณเปิดใช้งานการตั้งค่านี้ ค่าแฮ LAN Manager (LM) สำหรับรหัสผ่านใหม่จะไม่ถูกเก็บไว้เมื่อมีเปลี่ยนรหัสผ่าน แฮ LM ค่อนข้างอ่อน และเปรียบเทียบกับ Microsoft Windows NT แฮแรงกว่ารับเสี่ยงต่อการถูกโจมตี ถึงแม้ว่าการตั้งค่านี้มีความปลอดภัยเพิ่มเติมที่ครอบคลุมไปยังระบบ โดยการป้องกันไม่ให้โปรแกรมอรรถประโยชน์ถอดรหัสผ่านทั่วไปมาก การตั้งค่าสามารถป้องกันไม่ให้โปรแกรมประยุกต์บางโปรแกรมให้เริ่มการทำงาน หรือทำงานได้อย่างถูกต้อง

การเข้ารหัสระบบ: ใช้ FIPS อัลกอริทึมที่เข้ากันได้สำหรับการเข้ารหัสลับ hashing และเซ็นชื่อ

เมื่อคุณเปิดใช้งานการตั้งค่านี้ Internet Information Services (IIS) และ Microsoft Internet Explorer ใช้โพรโทคอขนส่งเลเยอร์ความปลอดภัย (TLS) 1.0 เท่านั้น ถ้าเปิดใช้งานการตั้งค่านี้บนเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS เฉพาะเบราว์เซอร์ที่สนับสนุน TLS 1.0 สามารถเชื่อมต่อ ถ้าการตั้งค่านี้ถูกเปิดใช้งานบนไคลเอนต์เว็บ ไคลเอนต์สามารถเชื่อมต่อไปยังเซิร์ฟเวอร์ที่สนับสนุนโพรโทคอล TLS 1.0 เท่านั้น ข้อกำหนดนี้อาจมีผลต่อความสามารถของไคลเอ็นต์การเยี่ยมชมเว็บไซต์ที่ใช้ การรักษาความปลอดภัย Secure Sockets Layer (SSL) สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
811834ไม่สามารถเยี่ยมชมไซต์ SSL หลังจากที่คุณเปิดใช้งานการเข้ารหัสที่เข้ากันได้กับ FIPS

นอกจากนี้ เมื่อคุณเปิดใช้งานการตั้งค่านี้บนเซิร์ฟเวอร์ที่ใช้บริการเทอร์มินัล ไคลเอ็นต์ถูกบังคับให้ใช้ไคลเอนต์ RDP 5.2 หรือรุ่นที่ใหม่กว่าเพื่อเชื่อมต่อ

สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
811833ผลกระทบของการเปิดใช้งานแบบ "เข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมที่เข้ากันได้สำหรับการเข้ารหัสลับ hashing และเซ็นชื่อ" ตั้งค่าความปลอดภัย ใน Windows XP และ ใน Windows รุ่นที่ใหม่กว่า

บริการการปรับปรุงอัตโนมัติหรือ Background Intelligent Transfer Service (BITS) ถูกปิดใช้งาน

ขอบทั้งสองข้างสำคัญของกลยุทธ์การรักษาความปลอดภัย Microsoft อย่างใดอย่างหนึ่งคือเพื่อให้แน่ใจว่า ระบบจะยังคงอยู่เป็นปัจจุบันการปรับปรุง ส่วนประกอบหลักในกลยุทธ์นี้คือ บริการการปรับปรุงอัตโนมัติ บริการ Windows Update และการปรับปรุงซอฟต์แวร์ที่ใช้บริการการปรับปรุงอัตโนมัติ เซอร์วิส Automatic Updates ขึ้นอยู่กับ Background Intelligent Transfer Service (บิต) ถ้าบริการนี้ถูกปิดการใช้งาน คอมพิวเตอร์จะไม่สามารถรับการปรับปรุง จาก Windows Update ผ่านทาง Automatic Updates จากซอฟต์แวร์ Update services (SUS), หรือ จากการติดตั้งบาง Microsoft ระบบ Management Server (SMS) บริการเหล่านี้ควรถูกปิดการใช้งานบนระบบที่มีระบบการแจกจ่ายโปรแกรมปรับปรุงที่มีผลบังคับใช้ที่สามารถอาศัยบิต เท่านั้น

บริการ netlogon จะถูกปิดใช้งาน

ถ้าคุณปิดใช้งานการบริการ NetLogon เวิร์กสเตชันไม่เชื่อถือเป็นสมาชิกของโดเมน การตั้งค่านี้อาจมีความเหมาะสมกับคอมพิวเตอร์บางเครื่องที่ไม่ได้เข้าร่วมในโดเมน อย่างไรก็ตาม ดังกล่าวควรเป็นอย่างรอบคอบประเมินก่อนที่จะปรับใช้

NoNameReleaseOnDemand

การตั้งค่านี้ป้องกันไม่ให้เซิร์ฟเวอร์ relinquishing ชื่อ NetBIOS ถ้าขัดแย้งกับคอมพิวเตอร์เครื่องอื่นบนเครือข่าย การตั้งค่านี้จะเป็นการวัดเชิงป้องกันที่ดีสำหรับการโจมบริการเทียบกับชื่อเซิร์ฟเวอร์และอื่น ๆ บทบาทเซิร์ฟเวอร์ที่สำคัญมาก

เมื่อคุณเปิดใช้งานการตั้งค่านี้บนเวิร์กสเตชัน เวิร์กสเตชันปฏิเสธการ relinquish ชื่อ NetBIOS แม้ว่าชื่อขัดแย้งกับชื่อของระบบที่สำคัญมาก เช่นตัวควบคุมโดเมน สถานการณ์นี้จะปิดใช้งานฟังก์ชันการทำงานของโดเมนที่สำคัญ Microsoft ขอแนะนำสนับสนุนความพยายามของอุตสาหกรรมเพื่อให้คำแนะนำด้านความปลอดภัยที่มีการกำหนดเป้าหมายการจัดวางในพื้นที่การรักษาความปลอดภัยสูง อย่างไรก็ตาม คำแนะนำนี้ต้องมีอย่างถี่ถ้วนทดสอบในสภาพแวดล้อมเป้าหมาย เราขอแนะนำว่า ผู้ดูแลระบบซึ่งจำเป็นต้องตั้งค่าการรักษาความปลอดภัยเพิ่มเติมนอกเหนือจากค่าเริ่มต้นใช้การแนะนำออก Microsoft เป็นจุดเริ่มต้นสำหรับความต้องการขององค์กรของพวกเขา สำหรับการสนับสนุน หรือ สำหรับคำถามเกี่ยวกับข้อแนะนำอื่น ๆ ติดต่อองค์กรที่คำแนะนำการออกใช้

ข้อมูลอ้างอิง


สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าการรักษาความปลอดภัย ดูคุกคามและวิธีการรับมือ: การตั้งค่าความปลอดภัยใน Windows Server 2003 และ Windows XP เมื่อต้องการดาวน์โหลดรายการแนะนำนี้ แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลกระทบของการตั้งค่าความปลอดภัยของคีย์เพิ่มเติมบางอย่าง คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
823659ไคลเอนต์ บริการ และ incompatibilities โปรแกรมที่อาจเกิดขึ้นเมื่อคุณปรับเปลี่ยนการตั้งค่าความปลอดภัย และการกำหนดสิทธิของผู้ใช้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลกระทบของต้องใช้อัลกอริทึมเข้ากันได้กับ FIPS คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
811833ผลกระทบของการเปิดใช้งานแบบ "เข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมที่เข้ากันได้สำหรับการเข้ารหัสลับ hashing และเซ็นชื่อ" การตั้งค่าความปลอดภัยใน Windows XP และรุ่นที่ใหม่กว่า
Microsoft ให้ข้อมูลการติดต่อของบริษัทอื่นเพื่อช่วยให้คุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลการติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบ Microsoft ไม่รับประกันความถูกต้องของข้อมูลการติดต่อของบุคคลภายนอก


สำหรับข้อมูลเกี่ยวกับผู้ผลิตฮาร์ดแวร์ของคุณ แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้: