摘要
Microsoft、Internet Security center (中國) 、國家安全性機構 (NSA) 、國防資訊系統局 (DISA) ,以及國家標準與技術學會 (NIST) 已發佈適用于 Microsoft Windows 的「安全性組組指引」。
部分指南中指定的高安全性等級可能會大幅限制系統的功能。 因此,在部署這些建議之前,您應該先執行重大測試。 當您執行下列操作時,建議您採取其他預防措施:
-
編輯存取控制清單 (檔案) 登錄機碼的 ACL
-
啟用 Microsoft 網路用戶端:永遠 (數位) 通訊)
-
啟用 網路安全性:請勿在下次密碼變更時儲存 LAN Manager 雜湊值
-
啟用系統加密:使用符合 FIPS 的演算法進行加密、雜湊及簽署
-
停用 自動更新服務或背景智慧傳輸服務 (BITS)
-
停用 NetLogon 服務
-
啟用 NoNameReleaseOnDemand
Microsoft 強烈建議業界努力為高安全性地區的部署提供安全性指引。 不過,您必須在目標環境中徹底測試指南。 如果您需要預設設定以外的其他安全性設定,我們強烈建議您查看 Microsoft 發行的指南。 這些指南可做為貴組織需求的起點。 如需支援或協力廠商指南相關問題,請聯絡發佈指南的組織。
簡介
在過去幾年中,包括 Microsoft、Internet Security center (中國) 、國家情報局 (NSA) 、防禦資訊系統局 (DISA) 以及國家標準與技術學會 (NIST) 在內的許多組織已發佈 Windows 的「安全性組組指引」。 與任何安全性指南一樣,經常需要的額外安全性會對可用性造成負面影響。
其中數個指南包含多個層級的安全性設定,包括 Microsoft、來自CIS 和 NIST 的指南。 這些指南可能包含專為下列專案設計的層級:
-
與舊版作業系統的互通性
-
Enterprise環境
-
提供有限功能的增強安全性 注意 此層級通常稱為特殊安全性 – 有限功能層級或
高安全性等級。
高安全性或特殊安全性 – 有限功能等級是專為在重大攻擊風險下非常嚴苛的環境所設計。 此層級會保護可能最高值的資訊,例如某些政府系統所需的資訊。 此大部分公開指南的高安全性等級,並不適合大多數正在Windows。 建議您在一般用途工作站上不要使用高安全性等級。 我們建議您只在系統上使用高安全性等級,如果系統遭到入侵會造成生命損失、非常寶貴的資訊遺失,或損失大量金錢。
數個群組與 Microsoft 合作,以產生這些安全性指南。 在許多情況下,這些指南都解決類似的威脅。 不過,每個指南會因法律要求、當地政策及功能需求而稍有不同。 因此,設定可能會從一組建議到下一組不同。 「產生公開可用安全性指南的組織」一節包含每個安全性指南的摘要。
其他相關資訊
產生公開可用安全性指南的組織
Microsoft Corporation
Microsoft 提供如何協助保護我們作業系統的指南。 我們已開發下列三種安全性設定層級:
-
Enterprise用戶端 (EC)
-
Stand-Alone (SA)
-
特殊安全性 – SSLF (功能)
我們已徹底測試此指南,以用於許多客戶案例。 本指南適用于任何想要協助保護其電腦Windows的組織。
我們完全支援我們的指南,因為我們在這些指南的應用程式相容性實驗室中進行了廣泛的測試。 請流覽下列 Microsoft 網站以下載我們的指南:
-
WindowsVista 安全性指南:
-
WindowsXP 安全性比較基準:
-
WindowsServer 2003 安全性比較基準:
-
Windows 2000 安全性強化指南:
如果您在執行 Microsoft 安全性指南後遇到問題或有批註,您可以傳送電子郵件訊息給secwish@microsoft.com。
Microsoft 資訊安全合規性管理員:Windows 提供適用于 Internet Explorer 和 Office 生產力套件的安全性組 HTTP://technet.microsoft.com/en-us/library/cc677002.aspx。
網際網路安全性中心
國際銷售組織已開發基準,提供可協助組織就特定可用安全性選擇做出明智決策的資訊。 國際銷售組織已提供三個層級的安全性基準:
-
遺產
-
企業版
-
高安全性
如果您在執行執行《國際銷售組織基準設定》 之後遇到問題或收到批註,請傳送電子郵件訊息給WIN2K-FEEDBACK@CISECURITY.ORG。
請注意,自我們最初于 2004 年 11 月 3 (日發佈本文以來,《國際) 》 指南已) 。 國際銷售組織目前的指引與 Microsoft 提供之指引類似。 如要進一步瞭解 Microsoft 提供之指引,請參閱本文稍早的「Microsoft Corporation」一節。
國家標準與技術學會
NIST 負責為美國聯邦政府建立安全性指南。 NIST 已建立四個層級的安全性指南,由美國聯邦機構、私人組織和公用組織使用:
-
Soho
-
遺產
-
企業版
-
特殊安全性 – 功能有限
如果您在執行 NIST 安全性範本後遇到問題或有批註,請傳送電子郵件訊息給itsec@nist.gov。
請注意,自我們于 2004 年 11 月 3 (日發佈本文以來,NIST 的指引已) 。 NIST 目前的指引與 Microsoft 提供之指引類似。 如要進一步瞭解 Microsoft 提供之指引,請參閱本文稍早的「Microsoft Corporation」一節。
防禦資訊系統局
DISA 會建立特別適用于美國國防部和 DOD (指南) 。 美國 DOD 使用者在執行 DISA 組配置指引後遇到問題或有批註,可以傳送電子郵件訊息給 fso_spt@ritchie.disa.mil。
請注意,自我們最初于 2004 年 11 月 3 (日發佈本文以來,DISA 的指引已) 。 DISA 目前的指引與 Microsoft 提供之指引類似或相同。 如要進一步瞭解 Microsoft 提供之指引,請參閱本文稍早的「Microsoft Corporation」一節。
國家安全機構 (NSA)
NSA 已提供指引,協助保護美國國防部的高風險電腦 (DOD) 。 NSA 已開發單一層級的指引,與其他組織產生的高安全性等級大約對應。
如果您在針對 xp 執行 NSA 安全性指南後遇到問題或Windows批註,您可以傳送電子郵件訊息給XPGuides@nsa.gov。 若要針對 2000 Windows提供意見回饋,請傳送電子郵件訊息給w2kguides@nsa.gov。
請注意,自我們于 2004 年 11 月 3 (日發佈本文以來,NSA 的指引已) 。 NSA 目前的指引與 Microsoft 提供之指引類似或相同。 如要進一步瞭解 Microsoft 提供之指引,請參閱本文稍早的「Microsoft Corporation」一節。
安全性指引問題
如本文前面所述,這些指南中所描述的高安全性等級是設計來大幅限制系統的功能。 由於這項限制,在部署這些建議之前,您應該先徹底測試系統。
注意:尚未報告針對 SoHo、舊版或 Enterprise 層級提供的安全性指引,會對系統功能造成嚴重影響。 本知識庫文章主要著重于與最高安全性等級相關聯的指引。
我們強烈建議業界努力為高安全性地區的部署提供安全性指引。 我們會繼續與安全性標準群組合作,以開發經過全面測試的實用強化指南。 協力廠商的安全性指導方針一向會發出強警告,以在目標高安全性環境中完整測試指導方針。 不過,這些警告不一定一定都受到提醒。 請確定您徹底測試目標環境中的所有安全性配置。 與我們建議不同的安全性設定可能會使執行為作業系統測試程式一部分之應用程式相容性測試無效。 此外,我們和協力廠商特別禁止在即時生產環境中而非測試環境中使用指南草稿。
這些安全性指南的較高層級包含一些設定,您應該先仔細評估,然後再進行這些設定。 雖然這些設定可能會提供額外的安全性優點,但設定可能會對系統的可用性造成負面影響。
檔案系統和註冊表存取控制清單修改
WindowsXP 和較新版本Windows已大幅強化整個系統的許可權。 因此,不需要對預設許可權進行大量變更。
DACL 中 (存取控制清單) 變更可能會使 Microsoft 執行的所有或大部分應用程式相容性測試無效。 這類變更通常並未經過 Microsoft 在其他設定上執行過徹底測試。 支援案例和現場經驗顯示,DACL 編輯會以非預期的方式變更作業系統的基本行為。 這些變更會影響應用程式的相容性和穩定性,並減少功能,而影響其性能和功能。
由於這些變更,我們不建議您修改生產系統上作業系統所包含之檔案的檔案系統 DLL。 我們建議您針對已知威脅評估任何其他 ACL 變更,以瞭解變更可能提供給特定組組的任何潛在優點。 因此,我們的指南只會對 DACL 進行極少的變更,Windows 2000。 對於 Windows 2000,需要進行數個小變更。 這些變更在 2000 Windows強化指南中說明。
整個註冊表和檔案系統中傳播的大規模許可權變更無法復原。 新資料夾 ,例如未存在於作業系統原始安裝的使用者設定檔資料夾,可能會受到影響。 因此,如果您移除執行 DACL 變更的群組原則設定,或您適用系統預設值,就無法卷回原始的 DLL。
對 %SystemDrive% 資料夾中 DACL 的變更可能會導致下列情況:
-
回收站不再如設計一樣有效,而且無法復原檔案。
-
降低安全性,可讓非系統管理員查看系統管理員的回收站內容。
-
使用者設定檔無法如預期運作。
-
降低安全性,為互動式使用者提供對系統部分或所有使用者設定檔的讀取存取權。
-
當許多 DACL 編輯載入至包含長時間登入或重複重新開機目標系統的群組原則物件時,發生性能問題。
-
系統每隔 16 小時左右會重新應用群組原則設定時,發生包括系統速度緩慢在內的問題。
-
應用程式相容性問題或應用程式當機。
為了協助您移除這類檔案和註冊許可權的最差結果,Microsoft 會按照您的支援合約,供應商業上合理的努力。 不過,您目前無法卷回這些變更。 我們僅能保證您可以重新格式化硬碟並重新安裝作業系統,以回到建議的開箱即用設定。
例如,對註冊表 DLL 的修改會影響大部分註冊表配置區,並可能導致系統不再如預期運作。 修改單一登錄機碼上的 DLL 不會對許多系統造成問題。 不過,我們建議您先仔細考慮並測試這些變更,然後再進行這些變更。 同樣,如果您重新設定並重新安裝作業系統,我們只能保證您可以回到建議的開箱即用設定。
Microsoft 網路用戶端:對通訊進行數位簽章 (永遠)
當您啟用這項設定時,當用戶端與不需要 SMB 簽署的伺服器 (SMB) 流量時,必須簽署伺服器訊息封鎖。 這會使用戶端較不容易受到會話盜用攻擊。 它提供重要的價值,但不在伺服器上啟用類似的變更,以啟用 Microsoft 網路伺服器:數位簽署通訊 (永遠) 或 Microsoft 網路 用戶端: 數位簽署通訊 (如果用戶端同意) ,用戶端將無法與伺服器成功通訊。
網路安全性:請勿在下次密碼變更時儲存 LAN Manager 雜湊值
當您啟用這項設定時, (LM) 密碼的雜湊值不會在密碼變更時儲存。 LM 雜湊相對比較弱且容易受到攻擊,與加密功能較強的 Microsoft 雜湊Windows NT攻擊。 雖然這項設定可防止許多常見的密碼破解公用程式,為系統提供廣泛的額外安全性,但這項設定可能會防止某些應用程式正確啟動或執行。
系統加密:使用符合 FIPS 的演算法進行加密、雜湊及簽署
當您啟用這項設定時,IIS Internet Information Services (和 Microsoft Internet Explorer) 只會使用傳輸層安全性 (TLS) 1.0 通訊協定。 如果執行 IIS 的伺服器上已啟用此設定,則只有支援 TLS 1.0 的網頁瀏覽器可以連接。 如果 Web 用戶端已啟用此設定,用戶端只能連接到支援 TLS 1.0 通訊協定的伺服器。 此需求可能會影響用戶端流覽使用安全通訊端層或 SSL (網站) 。若要詳細資訊,請按一下下列文章編號以在 Microsoft 知識庫中查看文章:
811834 啟用符合 FIPS 的加密之後,就無法流覽 SSL 網站。此外,當您在使用終端服務的伺服器上啟用此設定時,用戶端會強制使用
RDP 用戶端 5.2 或更新版本來連接。
若要詳細資訊,請按一下下列文章編號以在 Microsoft 知識庫中查看文章:
811833 在 Windows XP 中啟用「系統加密法:使用符合 FIPS 的演算法進行加密、雜湊及簽署」安全性設定的效果Windows
已停用 BITS 的自動更新服務 (背景智慧) 服務
Microsoft 安全性原則的重要支柱之一,就是確保系統保持在更新的最新狀態。 此策略的一個關鍵元件是自動更新服務。 更新Windows軟體更新服務都使用自動更新服務。 自動更新服務仰賴背景智慧傳輸服務 (BITS) 。 如果停用這些服務,電腦將無法再從 Windows Update 透過自動更新、軟體更新服務 (SUS) 或部分 Microsoft 系統管理伺服器 (簡訊) 安裝接收更新。 只有在有有效更新發佈系統且不依賴 BITS 的系統上,才能停用這些服務。
NetLogon 服務已停用
如果您停用 NetLogon 服務,工作站將不再以網域成員可靠地工作。 這項設定可能適用于某些未加入網域的電腦。 不過,部署前應謹慎評估。
NoNameReleaseOnDemand
此設定可防止伺服器放棄其 NetBIOS 名稱,如果伺服器與網路上另一部電腦發生衝突。 此設定是一項針對名稱伺服器和其他非常重要伺服器角色的拒絕服務攻擊的預防措施。
當您在工作站上啟用此設定時,工作站會拒絕放棄其 NetBIOS 名稱,即使名稱與較重要系統的名稱衝突 ,例如網域控制站。 此案例可以停用重要的網域功能。 Microsoft 強烈建議業界努力提供針對高安全性區域部署的安全性指引。 不過,必須在目標環境中徹底測試此指南。 我們強烈建議需要預設設定以外其他安全性設定之系統管理員使用 Microsoft 發行的指南做為組織需求的起點。 如需支援或協力廠商指南相關問題,請聯絡發佈指南的組織。
參考
有關安全性設定詳細資訊,請參閱威脅和威脅措施:設定 Server 2003 Windows XP 中的安全性Windows措施。 若要下載本指南,請流覽下列 Microsoft 網站:
HTTP://go.microsoft.com/fwlink/?LinkId=15159若要進一步瞭解其他金鑰安全性設定的影響,請按一下下列文章編號以在 Microsoft 知識庫中查看文章:
823659 修改安全性設定和使用者許可權指派時可能會發生的用戶端、服務和程式不相容。若要進一步瞭解需要符合 FIPS 演算法的效果,請按一下下列文章編號以在 Microsoft 知識庫中查看文章:
811833 在 Windows XP 和較新版本中啟用「系統密碼學:使用符合 FIPS 的演算法進行加密、雜湊及簽署」安全性設定的效果Microsoft 提供協力廠商連絡人資訊,可協助您尋找技術支援。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證此協力廠商連絡資訊的正確性。
有關硬體製造商的資訊,請流覽下列 Microsoft 網站:
