你目前正处于脱机状态,正在等待 Internet 重新连接

安全配置指南支持

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

概要
Microsoft、Internet 安全中心 (CIS)、美国国家安全局 (NSA)、美国国防信息系统局 (DISA) 和美国国家标准与技术协会 (NIST) 已发布针对 Microsoft Windows 的“安全配置指南”。

其中的一些指南所指定的高安全级别可能会明显限制系统的功能。因此,在部署这些建议之前应执行重要的测试。建议您在执行下列操作时采取其他一些预防措施:
  • 编辑文件和注册表项的访问控制列表 (ACL)
  • 启用“Microsoft 网络客户端:数字签名的通信(总是)”
  • 启用“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”
  • 启用“系统加密:对加密,散列和签名使用符合 FIPS 算法”
  • 禁用“自动更新服务或后台智能传输服务 (BITS)”
  • 禁用“NetLogon 服务”
  • 启用“NoNameReleaseOnDemand”
Microsoft 极力支持业界针对高安全性领域的部署提供安全指南的努力。但是,您必须在目标环境中充分测试该指南。如果除了默认的设置外您还需要其他安全设置,我们极力建议您查看 Microsoft 发布的指南。这些指南可以作为组织需求的起点。要获取有关第三方指南的支持或有与第三方指南相关的问题,请与发布相应指南的组织联系。
简介
在过去的几年中,包括 Microsoft、Internet 安全中心 (CIS)、美国国家安全局 (NSA)、美国国防信息系统局 (DISA) 和美国国家标准与技术协会 (NIST) 在内的许多组织都发布了针对 Windows 的“安全配置指南”。与任何安全指南一样,所需的附加安全性通常会对可用性产生不利影响。

这些指南中的其中一些(包括 Microsoft、CIS 和 NIST 提供的指南)包含多个级别的安全设置。这些指南可能包括设计用于以下内容的级别:
  • 与早期操作系统的互操作性
  • 企业环境
  • 提供有限功能的增强安全性

    注意:此级别通常被称为“专用有限安全功能”(Specialized Security-Limited Functionality) 级别或“高安全性”(High Security) 级别。
“高安全性”或“专用有限安全功能”级别是专门针对有重大攻击风险的极高危险环境设计的。此级别保护可能具有最高价值的信息,例如,一些政府系统所需的信息。此公共指南中的大部分的“高安全性”级别不适用于绝大多数运行 Windows 的系统。我们建议您不要在常规用途的工作站上使用“高安全性”级别。建议您仅在如果受到威胁则会导致失去生命、丢失极有价值的信息或损失大量金钱的系统上使用“高安全性”级别。

有几个小组与 Microsoft 合作提供了这些安全指南。在许多情况下,这些指南都解决类似的威胁。不过,由于法律要求、当地政策和功能要求的不同,每个指南又稍有差异。因此,各组建议中的设置可能各不相同。“提供公用安全指南的组织”一节包含了每个安全指南的概要。
更多信息

提供公用安全指南的组织

Microsoft Corporation

Microsoft 提供的指南可用于帮助保护我们自己的操作系统。我们制定了以下三个级别的安全设置:
  • 企业客户端 (EC)
  • 独立 (SA)
  • 专用有限安全功能 (SSLF)
我们对此指南进行了充分测试,证实它可以在许多不同的客户环境中使用。此指南适用于希望帮助保护其 Windows 计算机的任何组织。

我们充分支持我们的指南,因为我们在应用程序兼容性实验室对这些指南进行了广泛的测试。请访问下面的 Microsoft 网站以下载我们的指南:如果在实施 Microsoft 安全指南后遇到问题或者有任何意见,可以通过向以下地址发送电子邮件来提供反馈信息:secwish@microsoft.com

Internet 安全中心

CIS 制定的基准旨在提供一些信息,以帮助组织针对某些可用的安全选择做出全面的决策。CIS 提供了三个级别的安全基准:
  • 旧式
  • 企业
  • 高安全性
如果在实施 CIS 基准设置后遇到问题或者有任何意见,可以通过向以下地址发送电子邮件与 CIS 联系:win2k-feedback@cisecurity.org

注意 CIS 指南自我们最初发布此文章(2004 年 11 月 3 日)之后已有所更改。CIS 现有指南类似于 Microsoft 提供的指南。有关 Microsoft 提供的指南的更多信息,请阅读本文前面的“Microsoft Corporation”部分。

美国国家标准与技术协会

NIST 负责为美国联邦政府制定安全指南。NIST 制定了四个级别的安全指南,供美国联邦机构、私有组织和公共组织使用:
  • SoHo
  • 旧式
  • 企业
  • 专用有限安全功能
如果在实施 NIST 安全模板后遇到问题或者有任何意见,可以通过向以下地址发送电子邮件与 NIST 联系:itsec@nist.gov

注意 NIST 指南自我们最初发布此文章(2004 年 11 月 3 日)之后已有所更改。NIST 现有指南类似于 Microsoft 提供的指南。有关 Microsoft 提供的指南的更多信息,请阅读本文前面的“Microsoft Corporation”部分。

美国国防信息系统局

DISA 制定的指南专门用于 DOD。美国 DOD 用户在实施 DISA 配置指南后如果遇到问题或者有任何意见,可以通过向以下地址发送电子邮件提供反馈信息:fso_spt@ritchie.disa.mil

注意 DISA 指南自我们最初发布此文章(2004 年 11 月 3 日)之后已有所更改。DISA 现有指南类似于 Microsoft 提供的指南。有关 Microsoft 提供的指南的更多信息,请阅读本文前面的“Microsoft Corporation”部分。

美国国家安全局 (NSA)

NSA 制定的指南可帮助保护美国国防部的高风险计算机。NSA 制定了单一级别的指南,该级别大致与其他组织制定的“高安全性”级别相当。

如果在实施针对 Microsoft XP 的 NSA 安全指南后遇到问题或者有任何意见,可以通过向以下地址发送电子邮件提供反馈信息:XPGuides@nsa.gov。要提供有关 Windows 2000 指南的反馈信息,请发送电子邮件至:w2kguides@nsa.gov

注意 NSA 指南自我们最初发布此文章(2004 年 11 月 3 日)之后已有所更改。NSA 现有指南类似于 Microsoft 提供的指南。有关 Microsoft 提供的指南的更多信息,请阅读本文前面的“Microsoft Corporation”部分。

有关安全指南的问题

上文已经提到,其中有些指南中描述的高安全性级别在设计上会明显限制系统的功能。由于存在这种限制,在部署这些建议之前应充分测试系统。

注意:尚未有人报告为旧式、SoHo 或企业级别提供的安全指南会严重影响系统功能。本知识库文章重点探讨与最高安全级别相关的指南。

我们极力支持业界针对高安全性领域的部署提供安全指南的努力。我们将继续与安全标准小组合作,以制定一些有用的、经过充分测试的强化指南。第三方在发布安全指南时总是会发出强烈警告,要求您在高安全性的目标环境中充分测试这些指南。但是,这些警告并不总是能够引起注意。请务必在您的目标环境中充分测试所有的安全配置。与我们推荐的安全设置不同的安全设置可能会使作为操作系统测试过程的一部分执行的应用程序兼容性测试无效。此外,我们和第三方还特别不提倡将草案指南应用于实际生产环境,而非测试环境。

在实施这些安全指南的较高级别中包含的一些设置之前应认真评估。尽管这些设置可能会提供附加的安全好处,但也可能会对系统的可用性产生不利影响。

文件系统和注册表访问控制列表的修改

Windows Vista、Microsoft Windows XP 和 Microsoft Windows Server 2003 明显加强了对系统权限的控制。因此,不必对默认权限进行大量更改。

额外的 ACL 更改可能会使 Microsoft 执行的全部或大部分应用程序兼容性测试无效。对于这类更改,Microsoft 通常没有像对其他设置那样执行深入的测试。支持案例和现场经验显示 ACL 编辑通常会以意想不到的方式更改操作系统的基本行为。这些更改会在性能和容量方面影响应用程序的兼容性和稳定性,并且会缩减应用程序的功能。

由于这些更改,我们建议您不要修改生产系统上操作系统中包含的文件的文件系统 ACL。建议您根据已知的威胁评估任何额外的 ACL 更改,以了解所做的更改会给特定的配置带来哪些潜在好处。出于这些原因,我们的指南只进行了少量的 ACL 更改,而且是只针对 Windows 2000 进行的。对于 Windows 2000,进行一些较小的更改是必需的。Windows 2000 安全加强指南 中描述了这些更改。

在整个注册表和文件系统中传播的大量权限更改无法撤消。新文件夹(例如,在最初安装操作系统时不存在的用户配置文件文件夹)可能会受到影响。因此,如果删除执行 ACL 更改的组策略设置,或者应用系统默认设置,将无法回滚到原来的 ACL。

更改 %SystemDrive% 文件夹中的 ACL 可能会导致出现以下情形:
  • 回收站无法再像设计的那样工作,而且文件无法恢复。
  • 安全性的降低使非管理员用户得以查看管理员的回收站中的内容。
  • 用户配置文件无法正常工作。
  • 安全性的降低会为交互用户提供对系统上部分或全部用户配置文件的读访问权限。
  • 当许多 ACL 编辑操作被加载到组策略对象时会出现性能问题,其中包括登录时间较长或目标系统反复重启。
  • 出现性能问题,包括系统速度变慢,组策略设置大约每 16 小时被重新应用一次。
  • 出现应用程序兼容性问题或应用程序崩溃。
为帮助消除这些文件和注册表权限更改所带来的最坏结果,Microsoft 将提供与您的支持合同相符的在商业上合理的努力。不过,目前我们无法回滚这些更改。我们只能保证,您可以通过重新格式化硬盘驱动器并重新安装操作系统来返回到推荐的出厂设置。

例如,修改注册表 ACL 会影响大部分注册表配置单元,并且可能导致系统无法再正常工作。对于许多系统而言,修改单个注册表项上的 ACL 造成的问题会较小一些。不过,我们建议您在实施这些更改之前认真考虑,并对其进行测试。再次重申,如果您重新格式化并重新安装操作系统,我们只能保证您可以返回到推荐的出厂设置。

数字签名的通信(总是)”或“Microsoft 网络客户端:

如果启用此设置,当客户端联系不需要 SMB 签名的服务器时,客户端必须对服务器消息块 (SMB) 通信进行签名。这可使客户端减少受到会话窃用攻击的机会。它提供了重要价值,但是如果不在服务器上进行类似的更改以启用“Microsoft 网络服务器:数字签名的通信(总是)”或“Microsoft 网络客户端:数字签字的通信(若客户端同意),指客户端无法与服务器成功通信。

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值”

如果启用此设置,更改密码时将不会存储新密码的 LAN Manager (LM) 哈希值。与 Microsoft Windows NT 保密性较强的哈希值相比,LM 哈希值相对较弱并且容易受到攻击。尽管此设置可以阻止许多常见的密码破解实用工具,从而为系统提供大量的附加安全性,但是该设置也会导致一些应用程序无法启动或正常运行。

系统加密: 使用 FIPS 兼容的算法来加密, 散列和签名

当启用此设置时,Microsoft Internet 信息服务 (IIS) 和 Microsoft Internet Explorer 仅使用传输层安全 (TLS) 1.0 协议。如果 IIS 服务器上启用了此设置,则只有支持 TLS 1.0 的 Web 浏览器可以进行连接。如果 Web 客户端上启用了此设置,则该客户端只能连接到支持 TLS 1.0 协议的服务器。此要求可能会影响客户端访问使用安全套接字层 (SSL) 的网站的能力。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811834启用符合 FIPS 的加密后无法访问 SSL 网站

此外,当您在使用终端服务的服务器上启用此设置时,客户端会被强制使用 RDP 客户端 5.2 或更高版本进行连接。

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811833 在 Windows XP 和更高版本中启用“系统加密: 使用 FIPS 兼容的算法来加密,散列和签名”安全设置的影响

自动更新服务或后台智能传输服务 (BITS) 被禁用

Microsoft 安全策略的关键支柱之一是确保系统保持最新状态。该策略的一个关键组件就是自动更新服务。Windows Update 和软件更新服务都使用自动更新服务。自动更新服务依赖于后台智能传输服务 (BITS)。如果这两项服务被禁用,计算机将无法再通过自动更新从 Windows Update 接收更新或从软件更新服务 (SUS) 或某些 Microsoft Systems Management Server (SMS) 安装接收更新。仅当系统具有不依赖于 BITS 的有效更新分发系统时,才可以禁用这两项服务。

NetLogon 服务被禁用

如果您禁用 Net Logon 服务,工作站将无法再作为域成员可靠地运行。该设置可能适用于某些未加入域的计算机,但在部署之前应认真评估。

NoNameReleaseOnDemand

该设置可防止服务器在它的 NetBIOS 名称与网络中的其他计算机冲突时放弃该名称。对于针对名称服务器和其他关键服务器角色的拒绝服务攻击,该设置是一种很好的防范措施。

当您在工作站上启用该设置时,工作站会拒绝放弃它的 NetBIOS 名称,即使该名称与某个更重要的系统(如域控制器)的名称冲突。该方案会禁用重要的域功能。Microsoft 极力支持业界针对高安全性领域的部署提供安全指南的努力。但是,必须在目标环境中充分测试此指南。对于除默认设置外还需要其他安全设置的系统管理员,我们极力建议他们使用 Microsoft 发布的指南来着手满足他们组织的要求。要获取有关第三方指南的支持或有与第三方指南相关的问题,请与发布相应指南的组织联系。
参考
有关安全设置的更多信息,请参阅威胁和对策:Windows Server 2003 和 Windows XP 中的安全设置。要下载此指南,请访问下面的 Microsoft 网站:有关其他一些关键安全设置的影响的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823659修改安全设置和用户权限分配时可能出现的客户端、服务和程序不兼容问题
有关要求符合 FIPS 算法的影响的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811833 在 Windows XP 和更高版本中启用“系统加密: 使用 FIPS 兼容的算法来加密,散列和签名”安全设置的影响
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。有关如何与第三方供应商联系的信息,请单击以下列表中相应的文章编号,以查看 Microsoft 知识库中相应的文章:
65416 硬件和软件供应商联系信息,A-K (EN)

60781 硬件和软件供应商联系信息,L-P (EN)

60782 硬件和软件供应商联系信息,Q-Z (EN)
属性

文章 ID:885409 - 上次审阅时间:04/10/2009 07:19:40 - 修订版本: 7.3

Windows Vista Ultimate, Windows Vista Business, Windows Vista Enterprise, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows XP Professional Edition, Microsoft Windows XP Tablet PC Edition 2005, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 多语言版, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 多语言版, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server MultiLanguage Version, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Datacenter Server

  • kbsectools kbhowto kbsecurity KB885409
反馈
""; document.write(" /html>