使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。

摘要

Microsoft、Internet 安全中心 (CIS) 、国家安全机构 (NSA) 、防御信息系统机构 (DISA) 以及国家标准和技术协会 (NIST) 已发布 Microsoft Windows 的"安全配置指南"。

其中一些指南中指定的高安全级别可能会显著限制系统的功能。 因此,在部署这些建议之前,应执行重大测试。 建议在执行以下操作时采取其他预防措施:

  • 编辑访问控制列表 (文件) 注册表项的 ACL

  • 启用 Microsoft 网络客户端:对通信进行数字签名 (始终)

  • 启用 网络安全:下次更改密码时不要存储 LAN 管理器哈希值

  • 启用 系统加密:使用符合 FIPS 的算法进行加密、哈希和签名

  • 禁用 自动更新服务或后台智能传输服务 (BITS)

  • 禁用 NetLogon 服务

  • 启用 NoNameReleaseOnDemand

Microsoft 强烈支持行业努力,为高安全性领域的部署提供安全指导。 但是,必须在目标环境中全面测试指南。 如果需要除默认设置以外的其他安全设置,强烈建议查看 Microsoft 发布的指南。 这些指南可作为组织要求的起点。 有关支持或有关第三方指南的问题,请联系发布该指南的组织。

简介

过去几年来,一些组织(包括 Microsoft、Internet 安全中心 (CIS) 、国家安全机构 (NSA) 、防御信息系统机构 (DISA) 以及国家标准和技术协会 (NIST) )发布了适用于 Windows 的"安全配置指南"。 与任何安全指南一样,经常需要的额外安全性会对可用性造成负面影响。

其中几个指南(包括 Microsoft 的指南、CIS 指南和 NIST 指南)包含多个级别的安全设置。 这些指南可能包括专为以下各项设计的级别:

  • 与旧版操作系统的互操作性

  • Enterprise环境

  • 提供有限功能的增强安全性注意 此级别通常称为"专用安全性 - 有限功能"级别

    或"高安全性"级别。

"高安全性"或"专业安全性 - 有限功能"级别专为遭受重大攻击风险的极恶意环境而设计。 此级别保护可能的最高值的信息,例如某些政府系统需要的信息。 此公共指南中的大多数高安全级别不适合运行这些指南Windows。 建议不要对常规用途工作站使用高安全性级别。 建议仅在导致生命损失、极有价值信息丢失或大量资金损失的系统上使用高安全性级别。

多个组与 Microsoft 合作,制作这些安全指南。 在许多情况下,这些指南都解决了类似的威胁。 但是,由于法律要求、本地策略和功能要求,每个指南略有不同。 因此,设置可能因一组建议的不同而异。 "生成公开可用的安全指南的组织"部分包含每个安全指南的摘要。

更多信息

生成公开可用的安全指南的组织

Microsoft Corporation

Microsoft 提供了有关如何帮助保护我们自己的操作系统的指导。 我们开发了以下三个级别的安全设置:

  • Enterprise客户端 (EC)

  • Stand-Alone (SA)

  • 专用安全性 - SSLF (功能)

我们全面测试了本指南,以用于许多客户方案。 本指南适用于希望帮助保护其基于Windows的任何组织。

我们完全支持我们的指南,因为我们在这些指南的应用程序兼容性试验中进行了广泛的测试。 请访问以下 Microsoft 网站下载我们的指南:

如果在实施 Microsoft 安全指南后遇到问题或有意见,可以通过向用户发送电子邮件来提供secwish@microsoft.com。



Microsoft 安全合规性管理器:http://technet.microsoft.com/en-us/library/cc677002.aspx 中提供了适用于 Windows 操作系统、Internet Explorer 和 Office 生产力套件的安全配置指南


Internet 安全中心

CIS 开发了基准,用于提供可帮助组织就某些可用安全选择做出明智决策的信息。 CIS 提供了三个级别的安全基准:

  • 旧版

  • 企业版

  • 高安全性

如果在实施 CIS 基准设置后遇到问题或有意见,请发送电子邮件至 CIS win2k-feedback@cisecurity.org。

请注意,CIS 指南自我们最初于 2004 年 11 月 3 (日发布本文以来) 。 CIS 的当前指南类似于 Microsoft 提供的指南。 有关 Microsoft 提供的指南详细信息,请阅读本文前面提到的"Microsoft Corporation"部分。

国家标准和技术协会

NIST 负责为美国联邦政府创建安全指南。 NIST 已创建四个安全指南级别,由美国联邦机构、私有组织和公共组织使用:

  • SoHo

  • 旧版

  • 企业版

  • 专用安全性 - 功能受限

如果在实施 NIST 安全模板后遇到问题或有意见,请发送电子邮件至 ,联系 NIST itsec@nist.gov。

请注意,自我们最初于 2004 年 11 月 3 (发布本文以来,NIST 的指南) 。 NIST 的当前指南类似于 Microsoft 提供的指南。 有关 Microsoft 提供的指南详细信息,请阅读本文前面提到的"Microsoft Corporation"部分。

美国国防部信息系统局

DISA 创建专门供美国国防部和 DOD (使用的) 。 美国 DOD 用户在实施 DISA 配置指南后遇到问题或有意见时,可以通过向用户发送电子邮件来提供fso_spt@ritchie.disa.mil。

请注意,DISA 的指南自我们最初于 2004 年 11 月 3 (日发布本文以来) 。 DISA 的当前指南与 Microsoft 提供的指南类似或完全相同。 有关 Microsoft 提供的指南详细信息,请阅读本文前面提到的"Microsoft Corporation"部分。

NSA (国家)

NSA 已生成指南来帮助保护美国国防部中的高风险计算机 (DOD) 。 NSA 开发了与其他组织生成的高安全性级别大致对应的单级指导。

如果在实施适用于 Windows XP 的 NSA 安全指南后遇到问题或有意见,可以通过向 XPGuides@nsa.gov发送电子邮件来提供 XPGuides@nsa.gov。 若要提供有关 2000 Windows的反馈,请发送电子邮件至w2kguides@nsa.gov。

请注意,自我们最初于 2004 年 11 月 3 (发布本文以来,NSA 的指南) 。 NSA 的当前指南与 Microsoft 提供的指南类似或完全相同。 有关 Microsoft 提供的指南详细信息,请阅读本文前面提到的"Microsoft Corporation"部分。

安全指南问题

如本文前面所述,其中一些指南中所述的高安全级别旨在显著限制系统的功能。 由于此限制,在部署这些建议之前,应全面测试系统。

注意 为 SoHo、Legacy 或 Enterprise 级别提供的安全指南尚未报告对系统功能造成严重影响。 此知识库文章主要侧重于与最高安全级别关联的指南。 

我们强烈建议行业为高安全性领域的部署提供安全指导。 我们将继续与安全标准组合作,以开发经过全面测试的有用强化指南。 始终会发出来自第三方的安全指南,并发出强警告,以在目标高安全性环境中全面测试该准则。 但是,这些警告并非始终受到提醒。 请确保全面测试目标环境中的所有安全配置。 与我们建议的设置不同的安全设置可能会导致在操作系统测试过程中执行的应用程序兼容性测试失效。 此外,我们和第三方特别禁止在实时生产环境而不是测试环境中应用草案指南。

这些安全指南的高级别包括几个设置,在实施之前应仔细评估这些设置。 虽然这些设置可能会提供额外的安全优势,但设置可能会对系统的可用性造成负面影响。

文件系统和注册表访问控制列表修改

WindowsXP 和更高版本的 Windows在整个系统中已显著减少权限。 因此,不应对默认权限进行大量更改。 

DACL (控制列表) 更改可能导致 Microsoft 执行的所有或大多数应用程序兼容性测试失效。 通常情况下,此类更改尚未经过 Microsoft 在其他设置上执行彻底的测试。 支持案例和现场经验表明,DACL 编辑经常以意外的方式更改操作系统的基本行为。 这些更改会影响应用程序兼容性和稳定性,并降低性能和功能方面的功能。

由于这些更改,我们不建议在生产系统上的操作系统中包含的文件上修改文件系统 DACL。 建议针对已知威胁评估任何其他 ACL 更改,以了解更改可能有助于特定配置的任何潜在优势。 出于这些原因,我们的指南仅对 DACL 进行极少量的更改,并且仅对 Windows 2000。 对于 Windows 2000,需要进行一些细微更改。 这些更改在 2000 年 Windows安全强化指南中进行了介绍。

在整个注册表和文件系统中传播的广泛权限更改无法撤消。 新文件夹(例如原始安装操作系统时不存在的用户配置文件文件夹)可能会受到影响。 因此,如果删除执行 DACL 更改的组策略设置,或应用系统默认值,则不能回滚原始 DACL。 

更改 %SystemDrive% 文件夹中的 DACL 可能会导致以下情况:

  • 回收站不再按照设计工作,并且无法恢复文件。

  • 安全性降低,允许非管理员查看管理员回收站的内容。

  • 用户配置文件无法正常运行。

  • 安全性降低,为交互式用户提供对系统上部分或所有用户配置文件的读取访问权限。

  • 将许多 DACL 编辑加载到组策略对象(包括长时间登录或重复重启目标系统)时出现性能问题。

  • 重新应用组策略设置时,每隔 16 小时左右出现性能问题,包括系统速度下降。

  • 应用程序兼容性问题或应用程序崩溃。

为了帮助你删除此类文件和注册表权限的最坏结果,Microsoft 将按照你的支持合同提供商业上合理的努力。 但是,当前无法回滚这些更改。 我们仅保证可以通过重新格式化硬盘驱动器并重新安装操作系统,返回到推荐的开箱即用设置。

例如,对注册表 DACL 的修改会影响大部分注册表配置单元,并可能导致系统不再如预期运行。 修改单个注册表项上的 DACLS 对于许多系统不太造成问题。 但是,我们建议在实施这些更改之前仔细考虑和测试这些更改。 同样,我们只能保证在重新设置和重新安装操作系统时,可以返回到推荐的开箱即用设置。

Microsoft 网络客户端: 数字签名的通信(总是)

启用此设置时,客户端在联系不需要 SMB 签名的服务器时 (SMB) 对流量进行服务器消息块签名。 这使客户端更容易受到会话劫持攻击。 它提供重要的价值,但在服务器上不启用类似的更改以启用 Microsoft 网络服务器:对通信进行数字签名 (始终 为) 或 Microsoft 网络客户端:对通信进行数字签名 (如果客户端同意 ) , 则客户端将无法与服务器成功通信。

网络安全:下次更改密码时不要存储 LAN 管理器哈希值

启用此设置时,更改密码时 (LM) 新密码的哈希值不会存储。 与加密更强的 Microsoft 哈希相比,LM 哈希相对弱,容易Windows NT攻击。 尽管此设置通过阻止许多常见的密码破解实用工具为系统提供了广泛的附加安全性,但此设置可能会阻止某些应用程序正确启动或运行。

系统加密:使用符合 FIPS 的算法进行加密、哈希和签名

启用此设置时,INTERNET INFORMATION SERVICES (IIS) 和 Microsoft Internet Explorer只能使用 TLS (1.0) 传输层安全性。 如果在运行 IIS 的服务器上启用此设置,则只有支持 TLS 1.0 的 Web 浏览器才能连接。 如果在 Web 客户端上启用了此设置,则客户端只能连接到支持 TLS 1.0 协议的服务器。 此要求可能会影响客户端访问使用安全套接字层和 SSL (的网站) 。有关详细信息,请单击以下文章编号,在 Microsoft 知识库中查看文章:

811834 启用符合 FIPS 的加密后无法访问 SSL 站点。此外,在使用终端服务的服务器上启用此设置时,客户端必须使用 RDP 客户端
5.2 或更高版本进行连接。

有关详细信息,请单击以下文章编号,在 Microsoft 知识库中查看文章:

811833 在 Windows XP 和更高版本的加密中启用"系统加密:使用符合 FIPS 的算法进行加密、哈希和签名"Windows

禁用了 BITS (自动更新服务) 后台智能传输服务

Microsoft 安全策略的关键支柱之一是确保系统保持最新的更新。 此策略中的一个关键组件是自动更新服务。 更新Windows和软件更新服务都使用自动更新服务。 自动更新服务依赖于后台智能传输服务 (BITS) 。 如果这些服务处于禁用状态,则计算机将不再能够接收来自 Windows 更新的更新、自动更新、软件更新服务 (SUS) 或某些 Microsoft Systems Management Server (短信) 安装。 只能在具有不依赖于 BITS 的有效更新分发系统的系统上禁用这些服务。

NetLogon 服务已禁用

如果禁用 NetLogon 服务,工作站将不再可靠地作为域成员运行。 此设置可能适用于未加入域的一些计算机。 但是,应在部署之前仔细评估。

NoNameReleaseOnDemand

如果服务器与网络的另一台计算机冲突,此设置会阻止服务器放弃其 NetBIOS 名称。 此设置是针对名称服务器和其他非常重要服务器角色的拒绝服务攻击的良好预防措施。

在工作站上启用此设置时,即使该名称与较重要的系统(如域控制器)的名称冲突,工作站也拒绝放弃其 NetBIOS 名称。 此方案可以禁用重要的域功能。 Microsoft 强烈支持行业努力提供针对高安全领域的部署的安全指南。 但是,必须在目标环境中全面测试本指南。 我们强烈建议需要超出默认设置的其他安全设置的系统管理员使用 Microsoft 颁发的指南作为其组织要求的起点。 有关支持或有关第三方指南的问题,请联系发布该指南的组织。

参考

有关安全设置详细信息,请参阅威胁和对策:设置 Server 2003 Windows Windows XP 中的安全防护。 若要下载本指南,请访问以下 Microsoft 网站:

http://go.microsoft.com/fwlink/?LinkId=15159有关其他一些关键安全设置的影响详细信息,请单击以下文章编号,查看 Microsoft 知识库中的文章:

823659 修改安全设置和用户权限分配时可能会发生客户端、服务和程序不兼容。若要详细了解要求符合 FIPS 的算法的影响,请单击以下文章编号,在 Microsoft 知识库中查看文章:

811833 在 Windows XP 和更高版本中启用"系统加密:使用符合 FIPS 的算法进行加密、哈希和签名"安全性设置的效果Microsoft 提供了第三方联系信息,以帮助你查找技术支持。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证此第三方联系信息的准确性。


有关硬件制造商的信息,请访问以下 Microsoft 网站:

http://support.microsoft.com/gp/vendors/en-us

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。 你的 IT 管理员将能够收集此数据。 隐私声明。

谢谢您的反馈!

×