สรุป
Microsoft, the Center for Internet Security (CIS), the National Security Agency (NSA), the Defense Information Systems Agency (DISA), and the National Institute of Standards and Technology (NIST) have published "security configuration guidance" for Microsoft Windows.
ระดับความปลอดภัยสูงที่ระบุในคู่มือเหล่านี้บางส่วนอาจจํากัดฟังก์ชันการการใช้งานของระบบอย่างมาก ดังนั้น คุณควรทดสอบที่สําคัญก่อนที่คุณจะปรับใช้ข้อแนะนาเหล่านี้ เราขอแนะนนะให้คุณใช้มาตรการป้องกันเพิ่มเติมเมื่อคุณปฏิบัติตามขั้นตอนต่อไปนี้:-
แก้ไขรายการตัวควบคุมการเข้าถึง (ACLs) ของไฟล์และรีจิสทรีคีย์
-
เปิดใช้งาน ไคลเอ็นต์เครือข่ายของ Microsoft: เซ็นชื่อการสื่อสารแบบดิจิทัล (เสมอ)
-
เปิดใช้งาน การรักษาความปลอดภัยเครือข่าย: อย่าเก็บค่าแฮชของตัวจัดการ LAN ในการเปลี่ยนรหัสผ่านครั้งถัดไป
-
เปิดใช้งาน การเข้ารหัสลับระบบ: ใช้อัลกอริทึมที่เข้ากันได้กับ FIPS เพื่อการเข้ารหัสลับ การแฮช และการเซ็นชื่อ
-
ปิดใช้งาน บริการอัปเดตอัตโนมัติหรือBackground Intelligent Transfer Service (บิต)
-
ปิดใช้งาน บริการ NetLogon
-
เปิดใช้งาน NoNameReleaseOnDemand
Microsoft สนับสนุนความพยายามในอุตสาหกรรมอย่างมากในการให้แนวทางด้านความปลอดภัยสําหรับการปรับใช้ในพื้นที่ความปลอดภัยสูง อย่างไรก็ตาม คุณต้องทดสอบแนวทางในสภาพแวดล้อมเป้าหมายอย่างทั่วถึง ถ้าคุณต้องการการตั้งค่าความปลอดภัยเพิ่มเติมนอกเหนือจากการตั้งค่าเริ่มต้น เราขอแนะนาให้คุณดูคู่มือที่ออกให้โดย Microsoft คู่มือเหล่านี้สามารถใช้เป็นจุดเริ่มต้นของความต้องการขององค์กรของคุณ สําหรับการสนับสนุนหรือข้อสงสัยเกี่ยวกับคู่มือของบริษัทอื่น ให้ติดต่อองค์กรที่ออกแนวทาง
บทนำ
ในช่วงหลายปีที่ผ่านมา จํานวนขององค์กร รวมถึง Microsoft, ศูนย์การรักษาความปลอดภัยของอินเทอร์เน็ต (CIS), National Security Agency (NSA), บริษัทตัวแทนระบบการป้องกันข้อมูล (DISA) และสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้เผยแพร่ "แนวทางการกําหนดค่าความปลอดภัย" สําหรับ Windows เช่นเดียวกับแนวทางด้านความปลอดภัย ความปลอดภัยเพิ่มเติมที่ต้องใช้บ่อยจะมีผลกระทบต่อการใช้งาน
คู่มือเหล่านี้หลายรายการ รวมถึงคู่มือจาก Microsoft, จาก CIS และจาก NIST จะมีการตั้งค่าความปลอดภัยหลายระดับ คู่มือเหล่านี้อาจมีระดับที่ออกแบบมาดังต่อไปนี้:-
ความสามารถในการใช้งานร่วมกับระบบปฏิบัติการเวอร์ชันที่เก่ากว่า
-
สภาพแวดล้อมขององค์กร
-
ความปลอดภัยขั้นสูงที่มีฟังก์ชันการใช้ฟังก์ชันที่จํากัด หมายเหตุ: ระดับนี้มักเรียกว่าความปลอดภัยเฉพาะทาง – ระดับ
ฟังก์ชันการฟังก์ชันการใช้งานที่จํากัดหรือระดับความปลอดภัยสูง
ความปลอดภัยสูง หรือความปลอดภัยเฉพาะทาง ซึ่งเป็นฟังก์ชันที่จํากัด ระดับได้รับการออกแบบมาโดยเฉพาะในสภาพแวดล้อมที่มีโฮสต์สูงภายใต้ความเสี่ยงที่สําคัญของการโจมตี ระดับนี้จะปกป้องข้อมูลของค่าสูงสุดที่เป็นไปได้ เช่น ข้อมูลที่หน่วยงานภาครัฐบางระบบต้องใช้ แนวทางสาธารณะส่วนใหญ่นี้อยู่ในระดับความปลอดภัยระดับสูงจะไม่เหมาะสมสําหรับระบบส่วนใหญ่ที่ใช้ Windows เราไม่แนะนนะให้คุณใช้ระดับความปลอดภัยสูงบนเวิร์กสเตชันทั่วไป เราขอแนะนนะให้คุณใช้ระดับความปลอดภัยสูงเฉพาะกับระบบที่ทําให้สูญเสียชีวิต สูญเสียข้อมูลที่มีค่ามาก หรือสูญเสียเงินเป็นปริมาณมาก
หลายกลุ่มที่ร่วมงานกับ Microsoft เพื่อสร้างคู่มือความปลอดภัยเหล่านี้ ในหลายกรณี คู่มือนี้จะระบุถึงภัยคุกคามที่คล้ายกันทั้งหมด อย่างไรก็ตาม คู่มือแต่ละคู่มือจะแตกต่างกันเล็กน้อยเนื่องจากข้อกฎหมาย นโยบายภายในเครื่อง และข้อกฎหมายที่ใช้งานได้ ด้วยเหตุนี้ การตั้งค่าอาจแตกต่างไปจากชุดข้อแนะนาชุดหนึ่งไปยังชุดถัดไป ส่วน "องค์กรที่สร้างคู่มือความปลอดภัยที่พร้อมใช้งานแบบสาธารณะ" จะมีข้อมูลสรุปของคู่มือความปลอดภัยแต่ละคู่มือข้อมูลเพิ่มเติม
องค์กรที่สร้างแนวทางความปลอดภัยที่พร้อมใช้งานแบบสาธารณะ
Microsoft Corporation
Microsoft ให้แนวทางสําหรับวิธีการรักษาความปลอดภัยของระบบปฏิบัติการของเรา เราได้พัฒนาการตั้งค่าความปลอดภัยสามระดับต่อไปนี้:
-
ไคลเอ็นต์องค์กร (EC)
-
Stand-Aloneล (SA)
-
ความปลอดภัยเฉพาะทาง – ฟังก์ชันที่จํากัด (SSLF)
เราได้ทดสอบแนวทางนี้อย่างทั่วถึงสําหรับการใช้งานในสถานการณ์ของลูกค้าหลายสถานการณ์ แนวทางนี้เหมาะสมสําหรับองค์กรที่ต้องการช่วยรักษาความปลอดภัยให้กับคอมพิวเตอร์ที่ใช้ Windows
เราสนับสนุนคู่มือของเราอย่างเต็มที่เนื่องจากการทดสอบที่ครอบคลุมที่เราจัดขึ้นในการทดลองความเข้ากันได้กับแอปพลิเคชันในคู่มือเหล่านั้น เยี่ยมชมเว็บไซต์ Microsoft ต่อไปนี้เพื่อดาวน์โหลดคู่มือของเรา:-
คู่มือความปลอดภัยของ Windows Vista:
-
ข้อมูลพื้นฐานเกี่ยวกับความปลอดภัยของ Windows XP:
-
ข้อมูลพื้นฐานเกี่ยวกับความปลอดภัยของ Windows Server 2003:
-
คู่มือการ Hardening ของ Windows 2000:
ถ้าคุณพบปัญหาหรือมีข้อคิดเห็นหลังจากที่คุณใช้คู่มือการรักษาความปลอดภัยของ Microsoft คุณสามารถให้ข้อเสนอแนะได้โดยการส่งข้อความอีเมลถึงsecwish@microsoft.comของคุณ คู่มือการกําหนดค่าความปลอดภัยสําหรับระบบปฏิบัติการ Windows สําหรับ Internet Explorer และชุดประสิทธิภาพการรักษาความปลอดภัยมีให้ในตัวจัดการการปฏิบัติตามข้อบังคับด้านความปลอดภัยของ Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx
ศูนย์การรักษาความปลอดภัยของอินเทอร์เน็ต
CIS ได้พัฒนาเกณฑ์มาตรฐานเพื่อให้ข้อมูลที่ช่วยให้องค์กรตัดสินใจเกี่ยวกับตัวเลือกความปลอดภัยที่พร้อมใช้งานบางตัว CIS ได้ให้เกณฑ์มาตรฐานความปลอดภัยสามระดับ:
-
รุ่นดั้งเดิม
-
องค์กร
-
ความปลอดภัยสูง
ถ้าคุณพบปัญหาหรือมีข้อคิดเห็นหลังจากที่คุณใช้การตั้งค่าเกณฑ์มาตรฐาน CIS ให้ติดต่อ CIS โดยส่งข้อความอีเมลwin2k-feedback@cisecurity.orgการตั้งค่า แนวทางของ NOTE CIS มีการเปลี่ยนแปลงตั้งแต่ที่เราเผยแพร่บทความนี้เป็นครั้งแรก (3 พฤศจิกายน 2004) แนวทางปัจจุบันของ CIS คล้ายกับแนวทางที่ Microsoft มีให้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ไมโครซอฟท์มี ให้อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้
สถาบันแห่งชาติด้านมาตรฐานและเทคโนโลยี
NIST เป็นผู้รับผิดชอบในการสร้างแนวทางด้านความปลอดภัยสําหรับรัฐบาลสหรัฐอเมริกา NIST ได้สร้างแนวทางความปลอดภัยสี่ระดับที่ใช้โดยหน่วยงานภาครัฐ องค์กรส่วนบุคคล และองค์กรสาธารณะของสหรัฐอเมริกา
-
SoHo
-
รุ่นดั้งเดิม
-
องค์กร
-
ความปลอดภัยเฉพาะทาง – หน้าที่การใช้งานที่จํากัด
ถ้าคุณพบปัญหาหรือมีข้อคิดเห็นหลังจากที่คุณใช้เทมเพลตความปลอดภัยของ NIST ให้ติดต่อ NIST โดยส่งข้อความอีเมลไปยังitsec@nist.govของคุณ Note NIST's guidance has changed since we originally published this article (3 พฤศจิกายน 2004). แนวทางปัจจุบันของ NIST มีลักษณะคล้ายกับแนวทางที่ Microsoft มีให้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ไมโครซอฟท์มี ให้อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้
ตัวแทนระบบข้อมูลการป้องกัน
DISA สร้างแนวทางสําหรับใช้เฉพาะในภาควิชาการป้องกัน (DOD) ของสหรัฐอเมริกา ผู้ใช้ DOD ของสหรัฐอเมริกาที่พบปัญหาหรือมีข้อคิดเห็นหลังจากที่พวกเขาใช้แนวทางการกําหนดค่า DISA สามารถให้ข้อเสนอแนะโดยการส่งข้อความอีเมลfso_spt@ritchie.disa.milของคุณ Note DISA's guidance has changed since we originally published this article (3 พฤศจิกายน 2004). แนวทางปัจจุบันของ DISA จะคล้ายกันหรือเหมือนกันกับแนวทางที่ Microsoft มีให้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ไมโครซอฟท์มี ให้อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้
ตัวแทนด้านความปลอดภัยแห่งชาติ (NSA)
NSA ได้สร้างแนวทางเพื่อช่วยรักษาความปลอดภัยให้กับคอมพิวเตอร์ที่มีความเสี่ยงสูงในภาควิชาการป้องกัน (DOD) ของสหรัฐอเมริกา NSA ได้พัฒนาแนวทางระดับเดียวที่ตรงกับระดับความปลอดภัยระดับสูงที่ผลิตโดยองค์กรอื่นๆXPGuides@nsa.govของคุณ เมื่อต้องการให้ข้อเสนอแนะเกี่ยวกับคู่มือ Windows 2000 ให้ส่งข้อความอีเมลไปยัง w2kguides@nsa.govของคุณ หมายเหตุ แนวทางของ NSA มีการเปลี่ยนแปลงตั้งแต่ที่เราเผยแพร่บทความนี้เป็นครั้งแรก (3 พฤศจิกายน 2004) แนวทางปัจจุบันของ NSA จะคล้ายกันหรือเหมือนกันกับแนวทางที่ Microsoft มีให้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางที่ไมโครซอฟท์มี ให้อ่านส่วน "Microsoft Corporation" ก่อนหน้าในบทความนี้
ถ้าคุณพบปัญหาหรือมีข้อคิดเห็นหลังจากที่คุณใช้ NSA Security Guides for Windows XP คุณสามารถให้ข้อเสนอแนะได้โดยการส่งข้อความอีเมลไปยังปัญหาของแนวทางการรักษาความปลอดภัย
ดังที่กล่าวไว้ข้างต้นในบทความนี้ ระดับความปลอดภัยระดับสูงที่อธิบายไว้ในคู่มือเหล่านี้บางอย่างถูกออกแบบมาเพื่อจํากัดฟังก์ชันการใช้ฟังก์ชันการงานของระบบอย่างมาก เนื่องจากข้อจํากัดนี้ คุณควรทดสอบระบบอย่างทั่วถึงก่อนที่คุณจะปรับใช้ข้อเสนอแนะเหล่านี้
โปรดทราบว่าไม่มีการรายงานแนวทางด้านความปลอดภัยที่มีให้สําหรับระดับ SoHo, รุ่นดั้งเดิม หรือระดับองค์กรอย่างร้ายแรงต่อฟังก์ชันการฟังก์ชันการใช้ฟังก์ชันการงานของระบบ บทความของฐานความรู้นี้จะเน้นไปที่แนวทางที่เกี่ยวข้องกับระดับความปลอดภัยสูงสุดเป็นหลัก เราสนับสนุนความพยายามอย่างมากในอุตสาหกรรมในการให้แนวทางด้านความปลอดภัยสําหรับการปรับใช้ในพื้นที่ความปลอดภัยสูง เรายังคงสามารถใช้งานกลุ่มมาตรฐานความปลอดภัยเพื่อพัฒนาแนวทางการ hardening ที่มีประโยชน์ซึ่งได้รับการทดสอบอย่างเต็มรูปแบบ คําแนวทางด้านความปลอดภัยจากบุคคลที่สามจะออกคําเตือนที่รัดกุมอยู่เสมอเพื่อทดสอบคําแนวทางในสภาพแวดล้อมที่มีความปลอดภัยสูงเป้าหมาย อย่างไรก็ตาม คําเตือนเหล่านี้ไม่ได้รับการสนับสนุนเสมอไป ตรวจสอบให้แน่ใจว่าคุณทดสอบการกําหนดค่าความปลอดภัยทั้งหมดในสภาพแวดล้อมเป้าหมายของคุณอย่างทั่วถึง การตั้งค่าความปลอดภัยที่แตกต่างจากการตั้งค่าที่เราขอแนะนให้อาจใช้การทดสอบความเข้ากันได้ของแอปพลิเคชันที่ดําเนินการเป็นส่วนหนึ่งของกระบวนการทดสอบระบบปฏิบัติการไม่ถูกต้อง นอกจากนี้ เราและบุคคลภายนอกจะไม่อนุญาตให้ใช้แนวทางแบบร่างในสภาพแวดล้อมการผลิตแบบสดแทนในสภาพแวดล้อมการทดสอบโดยเฉพาะ คู่มือการรักษาความปลอดภัยระดับสูงเหล่านี้มีการตั้งค่าหลายอย่างที่คุณควรประเมินอย่างรอบคอบก่อนที่คุณจะปรับใช้ แม้ว่าการตั้งค่าเหล่านี้อาจให้ประโยชน์ด้านความปลอดภัยเพิ่มเติม การตั้งค่าอาจมีผลกระทบลบต่อการใช้งานของระบบการปรับเปลี่ยนรายการตัวควบคุมระบบไฟล์และการเข้าถึงรีจิสทรี
Windows XP และ Windows เวอร์ชันที่ใหม่กว่ามีสิทธิ์ที่กระชับอย่างมากทั่วทั้งระบบ ดังนั้น ไม่จําเป็นต้องเปลี่ยนแปลงสิทธิ์เริ่มต้นที่ครอบคลุม
การเปลี่ยนแปลงรายการตัวควบคุมการเข้าถึง (DACL) ตามดุลยพินิจเพิ่มเติมอาจสร้างความไม่ถูกต้องในการทดสอบความเข้ากันได้ของแอปพลิเคชันทั้งหมดหรือส่วนใหญ่ที่ไมโครซอฟท์ใช้ บ่อยครั้ง ที่การเปลี่ยนแปลงเหล่านี้ไม่ได้ผ่านการทดสอบโดยละเอียดที่ Microsoft ได้ปฏิบัติตามการตั้งค่าอื่นๆ กรณีการสนับสนุนและประสบการณ์การใช้งานเขตข้อมูลแสดงให้เห็นว่าการแก้ไข DACL เปลี่ยนแปลงลักษณะการดําเนินการพื้นฐานของระบบปฏิบัติการ บ่อยครั้งในวิธีที่ไม่ได้ตั้งใจ การเปลี่ยนแปลงเหล่านี้จะส่งผลต่อความเข้ากันได้และความเสถียรของแอปพลิเคชัน และลดฟังก์ชันการช่วยการใช้งาน ทั้งด้านประสิทธิภาพและความสามารถ เนื่องจากการเปลี่ยนแปลงเหล่านี้ เราไม่แนะให้คุณปรับเปลี่ยน DACLs ของระบบไฟล์บนไฟล์ที่รวมอยู่ในระบบปฏิบัติการบนระบบการผลิต เราขอแนะนนะให้คุณประเมินการเปลี่ยนแปลง ACL เพิ่มเติมต่อภัยคุกคามที่รู้จักเพื่อเข้าใจข้อดีที่อาจเกิดขึ้นที่การเปลี่ยนแปลงอาจให้ยืมกับการกําหนดค่าที่เฉพาะเจาะจง ด้วยเหตุผลเหล่านี้ คู่มือของเราเปลี่ยนแปลง DACL เพียงเล็กน้อยเท่านั้น และเปลี่ยนเป็น Windows 2000 เท่านั้น For Windows 2000, several minor changes are required. การเปลี่ยนแปลงเหล่านี้ได้อธิบายไว้ในคู่มือการ Hardening ของ Windows 2000 Security Hardening การเปลี่ยนแปลงสิทธิ์ที่ครอบคลุมซึ่งเผยแพร่ทั่วทั้งรีจิสทรีและระบบไฟล์ไม่สามารถเลิกทําได้ โฟลเดอร์ใหม่ เช่น โฟลเดอร์โปรไฟล์ผู้ใช้ที่ไม่แสดงในการติดตั้งระบบปฏิบัติการเดิม อาจได้รับผลกระทบ ดังนั้น ถ้าคุณเอาการตั้งค่านโยบายกลุ่มที่เปลี่ยนแปลง DACL ออก หรือคุณปรับใช้ค่าเริ่มต้นของระบบ คุณจะไม่สามารถย้อนกลับ DACLs เดิมได้ การเปลี่ยนแปลง DACL ในโฟลเดอร์ %SystemDrive% อาจทําให้เกิดสถานการณ์สมมติต่อไปนี้:-
ถังรีไซเคิลไม่ได้ฟังก์ชันตามการออกแบบอีกต่อไป และไม่สามารถกู้คืนไฟล์ได้
-
การลดความปลอดภัยที่อนุญาตให้ผู้ที่ไม่ใช่ผู้ดูแลระบบดูเนื้อหาของถังรีไซเคิลของผู้ดูแลระบบ
-
ความล้มเหลวของโปรไฟล์ผู้ใช้เพื่อฟังก์ชันตามที่คาดไว้
-
การลดการรักษาความปลอดภัยที่ช่วยให้ผู้ใช้แบบโต้ตอบสามารถเข้าถึงการอ่านโปรไฟล์ผู้ใช้บางส่วนหรือทั้งหมดบนระบบ
-
ปัญหาด้านประสิทธิภาพเมื่อการแก้ไข DACL ถูกโหลดลงในวัตถุนโยบายกลุ่มที่มีเวลาเข้าสู่ระบบนาน หรือรีสตาร์ตซ้ําๆ ของระบบเป้าหมาย
-
ปัญหาด้านประสิทธิภาพ การรวมถึงการลดความเร็วของระบบ ทุก 16 ชั่วโมง หรืออื่นๆ เนื่องจากการตั้งค่านโยบายกลุ่มจะถูกปรับใหม่
-
ปัญหาความเข้ากันได้ของแอปพลิเคชันหรือแอปพลิเคชันหยุดการออนไลน์
เพื่อช่วยให้คุณลบผลลัพธ์ที่ร้ายแรงที่สุดของสิทธิ์ไฟล์และรีจิสทรีดังกล่าวออก Microsoft จะมอบความพยายามที่สมเหตุสมผลตามสัญญาการสนับสนุนของคุณ อย่างไรก็ตาม คุณไม่สามารถย้อนกลับการเปลี่ยนแปลงเหล่านี้ได้ในขณะนี้ เรารับประกันว่าคุณสามารถกลับไปที่การตั้งค่าแบบไม่อยู่ในกล่องที่แนะนําโดยฟอร์แมตฮาร์ดดิสก์ไดรฟ์ใหม่และติดตั้งระบบปฏิบัติการใหม่
ตัวอย่างเช่น การปรับเปลี่ยนไปยังรีจิสทรี DACLs จะส่งผลต่อรีจิสทรีรีจิสทรี 2010 ส่วนใหญ่ และอาจทําให้ระบบไม่ทําหน้าที่ตามที่คาดไว้อีกต่อไป การปรับเปลี่ยน DACLs บนรีจิสทรีคีย์เดียวก่อให้เกิดปัญหากับระบบหลายระบบน้อยลง อย่างไรก็ตาม เราขอแนะนนะให้คุณพิจารณาอย่างรอบคอบและทดสอบการเปลี่ยนแปลงเหล่านี้ก่อนที่คุณจะใช้การเปลี่ยนแปลงเหล่านั้น อีกครั้ง เราสามารถรับประกันว่าคุณสามารถย้อนกลับไปยังการตั้งค่าแบบไม่อยู่ในกล่องที่แนะนนะถ้าคุณจัดรูปแบบใหม่และติดตั้งระบบปฏิบัติการใหม่ไคลเอ็นต์เครือข่ายของ Microsoft: เซ็นชื่อการสื่อสารแบบดิจิทัล (เสมอ)
เมื่อคุณเปิดใช้งานการตั้งค่านี้ ไคลเอ็นต์ต้องเซ็นชื่อในการรับส่งข้อมูล Server Message Block (SMB) เมื่อพวกเขาติดต่อเซิร์ฟเวอร์ที่ไม่ต้องมีการเซ็นชื่อ SMB ซึ่งช่วยให้ลูกค้ามีช่องโหว่ต่อเซสชันจากการโจมตีน้อยลง ซึ่งจะให้ค่าที่สําคัญ แต่ไม่มีการเปิดใช้งานการเปลี่ยนแปลงที่คล้ายกันบนเซิร์ฟเวอร์เพื่อเปิดใช้งานเซิร์ฟเวอร์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลในการติดต่อสื่อสาร (เสมอ) หรือไคลเอ็นต์เครือข่าย ของ Microsoft:เซ็นชื่อแบบดิจิทัลในการติดต่อสื่อสาร (ถ้าไคลเอ็นต์เห็นด้วย) ไคลเอ็นต์จะไม่สามารถสื่อสารกับเซิร์ฟเวอร์ได้ส่ิรวจ
ความปลอดภัยของเครือข่าย: อย่าเก็บค่าแฮชของตัวจัดการ LAN ในการเปลี่ยนรหัสผ่านครั้งถัดไป
เมื่อคุณเปิดใช้งานการตั้งค่านี้ ค่าแฮชของตัวจัดการ LAN (LM) ของรหัสผ่านใหม่จะไม่ถูกจัดเก็บไว้เมื่อเปลี่ยนรหัสผ่าน แฮช LM ค่อนข้างอ่อนและมีแนวโน้มที่จะถูกโจมตีเมื่อเทียบกับแฮช Microsoft Windows NT ที่รัดกุมกว่า แม้ว่าการตั้งค่านี้จะให้ความปลอดภัยเพิ่มเติมที่ครอบคลุมกับระบบโดยการป้องกันโปรแกรมอรรถประโยชน์ที่ใช้รหัสผ่านทั่วไปหลายโปรแกรม การตั้งค่าสามารถป้องกันไม่ให้เริ่มต้นหรือเรียกใช้แอปพลิเคชันบางอย่างได้อย่างถูกต้อง
การเข้ารหัสลับระบบ: ใช้อัลกอริทึมที่เข้ากันได้กับ FIPS เพื่อการเข้ารหัสลับ การแฮช และการเซ็นชื่อ
เมื่อคุณเปิดใช้งานการตั้งค่านี้ Internet Information Services (IIS) และ Microsoft Internet Explorer จะใช้โพรโทคอล Transport Layer Security (TLS) 1.0 เท่านั้น ถ้าเปิดใช้งานการตั้งค่านี้บนเซิร์ฟเวอร์ที่ใช้ IIS เฉพาะเว็บเบราว์เซอร์ที่สนับสนุน TLS 1.0 เท่านั้นที่สามารถเชื่อมต่อได้ ถ้าเปิดใช้งานการตั้งค่านี้บนไคลเอ็นต์เว็บ ไคลเอ็นต์จะสามารถเชื่อมต่อกับเซิร์ฟเวอร์ที่สนับสนุนโพรโทคอล TLS 1.0 เท่านั้น ความต้องการนี้อาจส่งผลต่อความสามารถของลูกค้าในการเยี่ยมชมเว็บไซต์ที่ใช้การรักษาความปลอดภัย Secure Sockets Layer (SSL) หากต้องการข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft
811834 ไม่สามารถเยี่ยมชมไซต์ SSL หลังจากที่คุณเปิดใช้งานการเข้ารหัสลับที่เข้ากันได้กับ FIPS นอกจากนี้ เมื่อคุณเปิดใช้งานการตั้งค่านี้บนเซิร์ฟเวอร์ที่ใช้ Terminal Services ไคลเอ็นต์จะถูกบังคับให้ใช้ ไคลเอ็นต์ RDP 5.2 หรือเวอร์ชันที่ใหม่กว่าเพื่อเชื่อมต่อ หากต้องการข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft
811833 ผลกระทบของการเปิดใช้งานการตั้งค่าความปลอดภัย "การเข้ารหัสลับระบบ: ใช้อัลกอริทึมที่เข้ากันได้กับ FIPS เพื่อการเข้ารหัสลับ การแฮช และการเซ็นชื่อ" ใน Windows XP และใน Windows เวอร์ชันที่ใหม่กว่า
ปิดใช้งานบริการอัปเดตBackground Intelligent Transfer Service (BITS)
หนึ่งในหลักหลักของกลยุทธ์ด้านความปลอดภัยของ Microsoft คือตรวจสอบให้แน่ใจว่าระบบได้รับการอัปเดตเป็นปัจจุบัน ส่วนประกอบหลักในกลยุทธ์นี้เป็นบริการการอัปเดตอัตโนมัติ ทั้งบริการ Windows Update และการอัปเดตซอฟต์แวร์จะใช้บริการอัปเดตอัตโนมัติ บริการ Automatic Updates ต้องอาศัยBackground Intelligent Transfer Service (BITS) ถ้าบริการเหล่านี้ถูกปิดใช้งาน คอมพิวเตอร์จะไม่สามารถรับการอัปเดตจาก Windows Update ผ่านการอัปเดตอัตโนมัติ จากบริการอัปเดตซอฟต์แวร์ (SUS) หรือจากการติดตั้ง Microsoft Systems Management Server (SMS) บางรายการ บริการเหล่านี้ควรถูกปิดใช้งานเฉพาะบนระบบที่มีระบบการกระจายการอัปเดตอย่างมีประสิทธิภาพซึ่งไม่ได้ใช้ BITS
บริการ NetLogon ถูกปิดใช้งาน
ถ้าคุณปิดใช้งานบริการ NetLogon เวิร์กสเตชันจะไม่ฟังก์ชันการเป็นสมาชิกโดเมนอีกต่อไป การตั้งค่านี้อาจเหมาะสมกับคอมพิวเตอร์บางเครื่องที่ไม่เข้าร่วมในโดเมน อย่างไรก็ตาม ควรประเมินอย่างรอบคอบก่อนการปรับใช้
NoNameReleaseOnDemand
การตั้งค่านี้จะป้องกันไม่ให้เซิร์ฟเวอร์ขีดเส้นใต้ชื่อ NetTALKS ถ้าขัดแย้งกับคอมพิวเตอร์เครื่องอื่นบนเครือข่าย การตั้งค่านี้เป็นมาตรการป้องกันที่ดีในการปฏิเสธการโจมตีบริการกับเซิร์ฟเวอร์ชื่อและบทบาทเซิร์ฟเวอร์ที่สําคัญอื่นๆ
เมื่อคุณเปิดใช้งานการตั้งค่านี้บนเวิร์กสเตชัน เวิร์กสเตชันปฏิเสธที่จะปฏิเสธชื่อ NetOLINS แม้ว่าชื่อขัดแย้งกับชื่อของระบบที่สําคัญกว่า เช่น ตัวควบคุมโดเมน สถานการณ์นี้สามารถปิดใช้งานฟังก์ชันการใช้ฟังก์ชันการงานของโดเมนที่สําคัญได้ Microsoft สนับสนุนความพยายามในอุตสาหกรรมอย่างมากในการให้แนวทางด้านความปลอดภัยที่มุ่งเป้าไปที่การปรับใช้ในพื้นที่ความปลอดภัยสูง อย่างไรก็ตาม ต้องทดสอบแนวทางนี้อย่างทั่วถึงในสภาพแวดล้อมเป้าหมาย เราขอแนะให้ผู้ดูแลระบบที่ต้องมีการตั้งค่าความปลอดภัยเพิ่มเติมนอกเหนือจากการตั้งค่าเริ่มต้น ให้ใช้คู่มือที่ออกให้โดย Microsoft เป็นจุดเริ่มต้นให้กับความต้องการขององค์กร สําหรับการสนับสนุนหรือข้อสงสัยเกี่ยวกับคู่มือของบริษัทอื่น ให้ติดต่อองค์กรที่ออกแนวทางอ้างอิง
For more information about security settings, see Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP. เมื่อต้องการดาวน์โหลดคู่มือนี้ โปรดเยี่ยมชมเว็บไซต์ Microsoft ต่อไปนี้:
http://go.microsoft.com/fwlink/?LinkId=15159For more information about the effect of some additional key security settings, click the following article number to view the article in the Microsoft Knowledge Base:
823659 ความเข้ากันของไคลเอ็นต์ บริการ และโปรแกรมที่อาจเกิดขึ้นเมื่อคุณปรับเปลี่ยนการตั้งค่าความปลอดภัยและการมอบหมายสิทธิ์ของผู้ใช้ ดูข้อมูลเพิ่มเติมเกี่ยวกับผลกระทบของการต้องใช้อัลกอริทึมที่เข้ากันได้กับ FIPS ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base:
811833 ผลกระทบของการเปิดใช้งานการตั้งค่าความปลอดภัย "การเข้ารหัสลับระบบ: ใช้อัลกอริทึมที่เข้ากันได้กับ FIPS เพื่อการเข้ารหัสลับ การแฮช และการเซ็นชื่อ" ใน Windows XP และเวอร์ชันที่ใหม่กว่าMicrosoft จะให้ข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาฝ่ายสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า Microsoft ไม่ได้รับประกันความถูกต้องของข้อมูลที่ติดต่อของบริษัทอื่นนี้ ดูข้อมูลเกี่ยวกับผู้ผลิตฮาร์ดแวร์ของคุณที่เว็บไซต์ Microsoft ต่อไปนี้: