Загальні відомості
Корпорація Майкрософт, Центр безпеки в Інтернеті (СНД), агентство національної безпеки (NSA), агентство захисту інформаційних систем (DISA), а також Національний інститут стандартів і технологій (NIST) опублікував "посібник з конфігурації безпеки" для Microsoft Windows.
Високий рівень безпеки, указаний у деяких із цих напрямних, може суттєво обмежити функціональність системи. Тому, перш ніж розгортати ці рекомендації, слід виконати значне тестування. Радимо вжити додаткових заходів обережності, виконавши наведені нижче дії.
-
Редагування списків керування доступом (ACL) для файлів і ключів реєстру
-
Увімкніть мережний клієнт Microsoft: додавання цифрового підпису до зв'язків (завжди)
-
Увімкнення безпеки мережі: не зберігайте хеш-значення ДИСПЕТЧЕРА локальної мережі під час наступного змінення пароля
-
Увімкнення системної криптографії: використання алгоритмів сумісності з FIPS для шифрування, обчислення хеш-сум та підписання
-
Вимкнення служби автоматичного оновлення або служби фонового передавання даних (BITS)
-
Вимкнення служби "Netlogon "
-
Увімкнення Nonamereleaseondemand
Корпорація Майкрософт рішуче підтримує галузеві зусилля, щоб забезпечити рекомендації з безпеки для розгортання в зонах високої безпеки. Проте потрібно ретельно перевірити керівні вказівки в цільовому середовищі. Якщо вам потрібні додаткові параметри безпеки, крім стандартних настройок, радимо побачити посібники, видані корпорацією Майкрософт. Ці посібники можуть слугувати початковою точкою для потреб вашої організації. Щоб отримати підтримку або запитання про сторонні посібники, зверніться до організації, яка видала вказівки.
Вступ
За останні кілька років кількість організацій, у тому числі Microsoft, Центр безпеки в Інтернеті (СНД), агентство національної безпеки (NSA), агентство захисту інформаційних систем (DISA), а також Національний інститут стандартів і технологій (NIST), опублікував "посібник з конфігурації безпеки" для Windows. Як і в будь-якому керівництві з питань безпеки, додаткова безпека, яка часто необхідна, має несприятливий вплив на зручність використання.
Деякі з цих напрямних, включно з посібниками від корпорації Майкрософт, з країн СНД і від NIST, містять кілька рівнів параметрів безпеки. Ці посібники можуть включати рівні, призначені для наведених нижче дій.
-
Взаємодія з попередніми операційними системами
-
Корпоративні середовища
-
Посилена безпека, яка забезпечує обмежену функціональність,
цей рівень часто називають спеціалізованим рівнем безпеки – обмежений рівень функціональності або високим рівнем безпеки.
Висока безпека, або спеціалізована безпека – обмежена функціональність, рівень призначений спеціально для дуже ворожих середовищ під значним ризиком атаки. Цей рівень захищає дані найвищого можливого значення, як-от інформацію, яка необхідна для деяких державних систем. Високий рівень безпеки більшості цих публічних рекомендацій не підходить для більшості систем, які працюють під керуванням ОС Windows. Радимо не використовувати високий рівень безпеки на робочих станціях для загальних потреб. Ми рекомендуємо використовувати високий рівень безпеки тільки в системах, де компроміс може спричинити втрату життя, втрату дуже цінної інформації або втрату багато грошей.
Кілька груп, які працюють з корпорацією Майкрософт для створення цих посібників з безпеки. У більшості випадків ці вказівки стосуються подібних загроз. Однак кожен посібник дещо відрізняється від юридичних вимог, локальної політики та функціональних вимог. Через це настройки можуть відрізнятися від одного набору рекомендацій до наступного. Розділ "організації, які виробляють загальнодоступні рекомендації з безпеки", містить зведення для кожного посібника з безпеки.
Додаткові відомості
Організації, які виробляють загальнодоступні рекомендації з безпеки
Корпорація Майкрософт
Корпорація Майкрософт надає рекомендації з захисту власних операційних систем. Ми розробили такі три рівні параметрів безпеки:
-
Корпоративний клієнт (ЄС)
-
Stand-Alone (SA)
-
Спеціалізована безпека – обмежена функціональність (SSLF)
Ми ретельно перевірили це керівництво для використання в багатьох сценаріях клієнтів. Керівництво відповідає будь-якій організації, яка бажає захистити комп'ютери на основі ОС Windows.
Ми повністю підтримуємо наші посібники через широке тестування, яке ми провели в лабораторіях сумісності застосунків для цих напрямних. Щоб завантажити наші посібники, перейдіть на такі веб-сайти Microsoft:
-
Посібник з безпеки Windows Vista:
-
Базова лінія безпеки Windows XP:
-
Базовий план безпеки Windows Server 2003:
-
Посібник із зміцнення безпеки в ОС Windows 2000:
Якщо у вас виникли проблеми або є примітки після здійснення посібника з безпеки Microsoft Security, ви можете надати відгук, надіславши повідомлення електронної пошти на secwish@microsoft.com.
Посібник із конфігурації безпеки для операційної системи Windows, для Internet Explorer і пакета підвищення продуктивності Office надається в диспетчері відповідності Microsoft Security: http://TechNet.Microsoft.com/EN-US/Library/cc677002.aspx.
Центр безпеки в Інтернеті
Країни СНД розробили критерії, щоб надати інформацію, яка допомагає організаціям приймати обґрунтовані рішення про певні доступні варіанти безпеки. Країни СНД надали три рівні критеріїв безпеки:
-
Застарілі
-
Підприємств
-
Високий рівень безпеки
Якщо у вас виникли проблеми або є примітки після того, як ви реалізуєте параметри тестів для країн СНД, зверніться до служби "СНД", надіславши повідомлення електронної пошти на Win2K-Feedback@cisecurity.org.
Примітка про те, що керівництво СНД змінилося, оскільки ми спочатку опублікували цю статтю (3 листопада 2004). Поточні вказівки в СНД нагадують вказівки, які надає корпорація Майкрософт. Щоб отримати докладніші відомості про рекомендації, які надає корпорація Майкрософт, ознайомтеся з розділом "корпорація Майкрософт", що знаходиться на початку цієї статті.
Національний інститут стандартів і технологій
NIST відповідає за створення рекомендацій з безпеки для федерального уряду Сполучених Штатів. NIST створила чотири рівні рекомендацій з безпеки, які використовуються федеральними агенціями США, приватними організаціями та громадськими організаціями:
-
SoHo
-
Застарілі
-
Підприємств
-
Спеціалізована безпека – обмежена функціональність
Якщо у вас виникли проблеми або є примітки після того, як ви реалізуєте шаблони безпеки NIST, зверніться до ITSEC@nist.govза адресою електронної пошти.
Зверніть увагу, що керівництво NIST змінилося, оскільки ми спочатку опублікували цю статтю (3 листопада 2004). Поточні вказівки NIST нагадують рекомендації, які надає корпорація Майкрософт. Щоб отримати докладніші відомості про рекомендації, які надає корпорація Майкрософт, ознайомтеся з розділом "корпорація Майкрософт", що знаходиться на початку цієї статті.
Агентство захисту інформаційних систем
DISA створює рекомендації спеціально для використання в департаменті захисту США (DOD). Користувачі служби "Україна", які мають проблеми з проблемами або мають зауваження, коли вони реалізують рекомендації з конфігурації, можуть надати відгук, надіславши повідомлення електронної пошти на fso_spt@ritchie.disa.mil.
Примітка про те, що ви змінили цю статтю (3 листопада 2004), не змінювалися вказівки з цієї статті. Поточне керівництво DISA подібне або ідентичне інструкції, які надає корпорація Майкрософт. Щоб отримати докладніші відомості про рекомендації, які надає корпорація Майкрософт, ознайомтеся з розділом "корпорація Майкрософт", що знаходиться на початку цієї статті.
Агентство національної безпеки (НГБ)
NSA підготувала керівні вказівки, щоб допомогти захистити комп'ютери з високим рівнем ризику в департаменті оборони США (DOD). Компанія NSA розробила один рівень рекомендацій, що відповідає приблизно високому рівню безпеки, що виробляється іншими організаціями.
Якщо у вас виникли проблеми або є примітки після здійснення роботи з керівництвом NSA для Windows XP, ви можете надати відгук, надіславши повідомлення електронної пошти на XPGuides@nsa.gov. Щоб надати відгук про посібники з Windows 2000, надішліть повідомлення електронної пошти на w2kguides@nsa.gov.
Примітка про те, що керівництво NSA змінилося, оскільки ми спочатку опублікували цю статтю (3 листопада 2004). Поточні керівні вказівки з НГБ аналогічні або ідентичні інструкції, які надає корпорація Майкрософт. Щоб отримати докладніші відомості про рекомендації, які надає корпорація Майкрософт, ознайомтеся з розділом "корпорація Майкрософт", що знаходиться на початку цієї статті.
Проблеми з керівництвом безпеки
Як уже згадувалося раніше в цій статті, високий рівень безпеки, описаний у деяких з цих напрямних, було створено, щоб значно обмежити функціональність системи. Через це обмеження слід ретельно перевірити систему, перш ніж розгортати ці рекомендації.
Зверніть увагу, що вказівки з безпеки, які надаються для рівня "Сохо", "Legacy" або "Корпоративний", не повідомляють про те, що функція System має значення. Ця стаття бази знань основна, перш за все, зосереджена на рекомендаціях, пов'язаних із найвищим рівнем безпеки.
Ми рішуче підтримуємо галузеві зусилля, щоб забезпечити рекомендації з безпеки для розгортання в зонах високої безпеки. Ми продовжуємо працювати з групами стандартів безпеки, щоб розробляти корисні рекомендації з зміцнення, які повністю перевірені. Рекомендації з безпеки від третіх осіб завжди видаються з сильними попередженнями, щоб повністю перевірити керівні принципи в цільових умовах високої безпеки. Однак, ці попередження не завжди мають уваги. Переконайтеся, що ви ретельно перевіряємо всі конфігурації системи безпеки в цільовому середовищі. Параметри безпеки, які відрізняються від тих, які ми радимо, можуть призвести до недійсної перевірки сумісності програм, які виконуються в процесі тестування операційної системи. Крім того, ми та треті сторони, зокрема, не в тестовій середовищі, не застосовуючи проект "керівництво" в живій виробничій середовищі.
Високий рівень цих напрямних безпеки включає кілька параметрів, які слід ретельно оцінити, перш ніж виконувати ці дії. Хоча ці параметри можуть передбачати додаткові переваги системи безпеки, настройки можуть негативно вплинути на зручність використання системи.
Зміни у списку файлової системи та керування доступом до реєстру
Операційна система Windows XP та пізніші версії Windows значно посилили дозволи в усій системі. Таким чином, великі зміни у відповідні дозволи за замовчуванням не повинні бути потрібні.
Додаткові зміни, внесені до списку керування доступом (DACL), можуть призвести до втрати всіх або більшості тестів сумісності застосунків, які виконуються корпорацією Майкрософт. Часто ці зміни не зазнали ретельного тестування, яке корпорація Майкрософт виконала в інших параметрах. Під час підтримки прецедентів і роботи з полем показано, що редагування DACL змінює фундаментальну поведінку операційної системи, часто в ненавмисні способи. Ці зміни впливають на сумісність програм і стабільність і знижують функціональність, що стосується як продуктивності, так і можливостей.
Через ці зміни ми не радимо змінювати файлову систему DACLs на файли, які входять до складу операційної системи на виробничих системах. Радимо оцінити будь-які додаткові зміни в ACL від відомої загрози, щоб дізнатися про потенційні переваги, які можуть надавати зміни до певної конфігурації. З цих причин наші посібники роблять лише дуже мінімальні зміни DACL і лише для Windows 2000. Для Windows 2000 потрібні кілька незначних змін. Ці зміни описано в посібнику з зміцнення безпеки в ОС Windows 2000.
Розширені зміни дозволів, які поширюються в усьому реєстрі та файловій системі, не можна скасувати. Можуть впливати нові папки, як-от папки профілів користувачів, які не були присутні в вихідній інсталяції операційної системи. Тому, якщо видалити параметр групової політики, що виконує зміни в DACL, або ви застосовуєте системні стандартні параметри, не можна відкотити початкові функції DACLs.
Зміни в службі DACL в папці% SystemDrive% можуть спричинити такі сценарії:
-
Кошик більше не функціонує, а файли не можна відновити.
-
Зменшення рівня безпеки, що дає змогу переглядати вміст кошика адміністратора, не адміністратор.
-
Відмова профілів користувачів для функції, як очікувалося.
-
Зменшення безпеки, що надає інтерактивні користувачі з доступом для читання до деяких або всіх профілів користувачів у системі.
-
Проблеми з продуктивністю, коли багато змін DACL завантажуються в об'єкт групової політики, що включає довгий час входу або повторне перезавантаження цільової системи.
-
Проблеми з продуктивністю, зокрема уповільнення системи, застосовуються щонайбільше 16 годин, а також відповідно до параметрів групової політики.
-
Проблеми з сумісністю програм або програма аварійно завершує роботу.
Щоб усунути Найгірші результати такого файлу та дозволів реєстру, корпорація Майкрософт надаватиме комерційно доцільні зусилля відповідно до вашого контракту служби підтримки. Однак наразі ви не можете повернути ці зміни. Ми можемо гарантувати лише те, що ви можете повернутися до рекомендованої відповідної настройки, переформатувавши жорсткий диск і інсталувавши операційну систему.
Наприклад, зміни, які потрібно змінити в реєстрі, впливають на великі частини вуликів реєстру та можуть спричинити, що системи більше не функціонують належним чином. Змінення Даш на одному з цих ключів реєстру має меншу кількість проблем із багатьма системами. Однак радимо ретельно зважити та перевірити ці зміни перед їх впровадженням. Знову ж таки, ми можемо гарантувати лише те, що ви можете повернутися до рекомендованих параметрів, якщо повторно відформатувати та повторно інсталювати операційну систему.
Клієнт мережі Microsoft: додавання цифрового підпису до зв'язків (завжди)
Якщо ввімкнути цей параметр, клієнти мають підписувати трафік повідомлень сервера (SMB), коли вони зв'яжуться з серверами, для яких не потрібно підписувати SMB. Це робить клієнти вразливими для атак з викрадення сеансів. Вона забезпечує значне значення, але не дає змоги змінити на сервері, щоб активувати Microsoft Network Server: цифровий підпис зв'язок (завжди) або Microsoft Network Client: цифровий підпис зв'язок (якщо Клієнт погоджується), клієнт не зможе успішно спілкуватися з сервером.
Мережева безпека: не зберігайте хеш-значення диспетчера ЛОКАЛЬНОЇ мережі під час наступного змінення пароля
Якщо ввімкнути цей параметр, хеш-значення диспетчера локальної мережі (LM) для нового пароля не зберігатиметься, коли пароль буде змінений. Хеш LM є відносно слабкою і схильною до атак, порівняно з криптографічно сильною програмою Microsoft Windows NT хеш. Незважаючи на те, що цей параметр містить велику додаткову безпеку в системі, перешкоджаючи багатьом звичайним програмам злому паролів, параметр може запобігати належному запуску або запуску деяких програм.
Системна криптографія: використовуйте алгоритми сумісності з FIPS для шифрування, обчислення хеш-сум та підписання.
Якщо ввімкнути цей параметр, Інформаційні служби Інтернету (IIS) і Microsoft Internet Explorer використовують лише протокол "Безпека транспортного засобу" (TLS) 1,0. Якщо цей параметр увімкнуто на сервері, на якому запущено IIS, можна підключатися лише веб-браузери, які підтримують протокол TLS 1,0. Якщо цей параметр увімкнуто для веб-клієнта, клієнт може підключатися лише до серверів, які підтримують протокол TLS 1,0. Ця вимога може вплинути на здатність клієнта відвідувати веб-сайти, за допомогою яких можна використовувати протокол захищених з'єднань (SSL). Щоб отримати докладні відомості, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:
811834 Не вдається відвідати сайти SSL після ввімкнення криптографії, сумісних із FIPS
, Якщо ввімкнути цей параметр на сервері, у якому використовуються служби терміналів, клієнти змушені використовувати клієнт RDP 5,2 або пізніші версії для підключення.
Щоб отримати докладні відомості, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:
811833 Ефекти ввімкнення функції "системна криптографія: використання алгоритмів сумісності за допомогою FIPS для шифрування, обчислення хеш-значення та підписання" в операційній системі Windows XP та в подальших версіях Windows
Служба автоматичного оновлення або служба фонового передавання даних (BITS) недоступна
Один із основних основ стратегії Microsoft безпеки – це переконатися в тому, що системи зберігаються в поточному оновленні. Ключовий компонент у цій стратегії – Служба автоматичних оновлень. Служби Windows Update і оновлення програмного забезпечення використовують службу автоматичних оновлень. Служба автоматичних оновлень використовує службу фонового передавання даних (BITS). Якщо ці служби вимкнуто, комп'ютери не зможуть отримувати оновлення з Windows Update за допомогою автоматичних оновлень, від служб оновлення програмного забезпечення (SUS) або з деяких інсталяцій сервера Microsoft Systems Management Server (SMS). Ці служби мають бути вимкнуті тільки в системах, які мають ефективну систему оновлення – система розподілу, яка не спирається на БІТИ.
Служба NetLogon недоступна
Якщо вимкнути службу NetLogon, робоча станція більше не функціонує як учасник домену. Цей параметр може бути відповідним для деяких комп'ютерів, які не беруть участь у доменах. Однак слід ретельно оцінити перед розгортанням.
NoNameReleaseOnDemand
Цей параметр забороняє серверу від відмови від імені NetBIOS, якщо він конфліктує з іншим комп'ютером у мережі. Цей параметр є добрим профілактичним показником відмови від атак служби на серверах імен та інших важливих ролей сервера.
Якщо ввімкнути цей параметр на робочій станції, робоча станція відмовляється відмовитися від імені NetBIOS, навіть якщо ім'я конфліктує з іменем важливіших систем, як-от контролер домену. Цей сценарій може вимкнути важливі функції домену. Корпорація Майкрософт рішуче підтримує галузеві зусилля, щоб забезпечити рекомендації з безпеки, призначені для розгортання в областях високої безпеки. Однак це керівництво має бути ретельно перевірено в цільовому середовищі. Радимо, що Системні адміністратори, які потребують додаткових параметрів безпеки за замовчуванням, використовують посібники, видані корпорацією Майкрософт, як відправну точку для вимог своєї організації. Щоб отримати підтримку або запитання про сторонні посібники, зверніться до організації, яка видала вказівки.
Посилання
Докладні відомості про настройки безпеки наведено в статті загрози та контрзаходи: параметри безпеки в ОС Windows Server 2003 і Windows XP. Щоб завантажити цей посібник, перейдіть на такі веб-сайт Microsoft:
http://go.microsoft.com/fwlink/?LinkId=15159Щоб отримати докладні відомості про ефект деяких додаткових параметрів безпеки ключа, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:
823659 Несумісності клієнтів, служб і програм, які можуть виникати під час змінення параметрів безпеки та прав користувача assignmentsFor додаткові відомості про наслідки, які потребують сумісних алгоритмів FIPS, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:
811833 Наслідки ввімкнення функції "системна криптографія: використання алгоритмів сумісності за допомогою FIPS для шифрування, обчислення хеш-значення та підписання" в операційній системі Windows XP, а потім у версії Версітикотисофт надає контактну інформацію сторонніх постачальників, щоб допомогти вам отримати технічну підтримку. Ця Контактна інформація може змінюватися без попереднього повідомлення. Корпорація Майкрософт не гарантує точність цієї контактної інформації про сторонні особи.
Щоб отримати відомості про виробника устаткування, перейдіть на веб-сайт Microsoft:
