Meer informatie

Organisaties die openbare beveiligingsrichtlijnen uitgeven

Microsoft Corporation

Microsoft biedt richtlijnen voor het beveiligen van onze eigen besturingssystemen. Wij hebben drie niveaus voor beveiligingsinstellingen ontwikkeld:

• Legacy
• Enterprise
• High Security

Deze richtlijnen zijn grondig getest voor toepassing in vele verschillende klantscenario's. De richtlijn is geschikt voor elke organisatie die haar Windows-computers wil beveiligen.

Wij staan volledig achter onze richtlijnen vanwege de zeer grondige tests die we in onze proefopstellingen hebben uitgevoerd. Raadpleeg de volgende Microsoft-websites om onze richtlijnen te downloaden:

• Beveiligingsrichtlijn Windows XP:

  http://go.microsoft.com/fwlink/?LinkId=14839

• Beveiligingsrichtlijn Windows Server 2003:

  http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx

• Richtlijn voor extra beveiliging voor Windows 2000:

  http://go.microsoft.com/fwlink/?LinkId=28591

Ondervindt u problemen of hebt u opmerkingen na het implementeren van de Microsoft-beveiligingsrichtlijnen, stuur dan uw feedback in een e-mailbericht gericht aan secwish@microsoft.com.

Het Center for Internet Security (CIS)

CIS heeft bepaalde benchmarks ontwikkeld die informatie verschaffen op basis waarvan organisaties weloverwogen beslissingen kunnen nemen aangaande bepaalde beveiligingsmogelijkheden. CIS biedt benchmarks voor drie verschillende beveiligingsniveaus:

• Legacy
• Enterprise
• High Security

Ondervindt u problemen of hebt u opmerkingen na het implementeren van de instellingen volgens de benchmarks van het CIS, neem dan contact op met het CIS door een e-mailbericht te sturen naar win2k-feedback@cisecurity.org.

Het National Institute of Standards and Technology (NIST)

Het NIST is verantwoordelijk voor het opstellen van beveiligingsrichtlijnen voor de Amerikaanse federale overheid. Het NIST heeft vier niveaus voor beveiligingsrichtlijnen opgesteld, die worden gebruikt door Amerikaanse overheidsinstellingen, privé-organisaties en publieke organisaties:

• SoHo
• Legacy
• Enterprise
• Specialized Security—Limited Functionality

Ondervindt u problemen of hebt u opmerkingen na het implementeren van de beveiligingssjablonen van het NIST, neem dan contact op met het NIST door een e-mailbericht te sturen naar itsec@nist.gov.

Het Defense Information Systems Agency (DISA)

Het DISA stelt richtlijnen op die specifiek worden toegepast bij het Amerikaanse ministerie van defensie. Gebruikers binnen het Amerikaanse ministerie van defensie die problemen ondervinden of opmerkingen hebben na het implementeren van configuratierichtlijnen van DISA, kunnen feedback verschaffen door een e-mailbericht te sturen naar fso_spt@ritchie.disa.mil.

Het National Security Agency (NSA)

Het NSA heeft richtlijnen opgesteld voor het beveiligen van risicocomputers binnen het Amerikaanse Ministerie van Defensie. Het NSA heeft een enkele richtlijn opgesteld die min of meer overeenkomt met het niveau Strenge beveiliging dat door andere organisaties wordt geproduceerd.

Ondervindt u problemen of hebt u opmerkingen na het implementeren van de Microsoft-beveiligingsrichtlijnen van het NSA voor Windows XP, stuur dan uw feedback in een e-mailbericht aan XPGuides@nsa.gov. Als u feedback wilt verschaffen over de richtlijnen voor Windows 2000, stuurt u een e-mailbericht aan w2kguides@nsa.gov.

Problemen met de beveiligingsrichtlijnen

Zoals eerder in dit artikel werd vermeld, zijn de hoge beveiligingsniveaus die in sommige van deze richtlijnen worden beschreven bedoeld om de functionaliteit van een systeem aanzienlijk te beperken. Vanwege deze beperking is het van groot belang dat een systeem grondig wordt getest voordat deze aanbevelingen worden geïmplementeerd.

Opmerking Bij de beveiligingsrichtlijn voor de niveaus Legacy, SoHo of Enterprise hebben zich vooralsnog geen beperkingen in systeemfunctionaliteit voorgedaan. Dit Knowledge Base-artikel richt zich voornamelijk op de richtlijn die verband houdt met het hoogste beveiligingsniveau.

Microsoft ondersteunt initiatieven vanuit de sector om beveiligingsrichtlijnen te verschaffen voor implementatie in gebieden waar een hoog beveiligingsniveau is vereist. Wij werken voortdurend samen met groepen die zich bezighouden met beveiligingsstandaards om te komen tot praktische richtlijnen voor strengere beveiliging die volledig zijn getest. Beveiligingsrichtlijnen van derden worden altijd voorzien van duidelijke waarschuwingen om de richtlijnen volledig te testen in doelomgevingen waar een hoge mate van beveiliging is vereist. Deze waarschuwingen worden echter niet altijd opgevolgd. Zorg ervoor dat alle beveiligingsconfiguraties grondig worden getest in uw doelomgeving. Beveiligingsinstellingen die afwijken van de door ons aanbevolen richtlijnen, kunnen tot gevolg hebben dat compatibiliteitstesten die worden uitgevoerd als onderdeel van het testproces voor besturingsproblemen ongeldig worden. Bovendien raden wij en andere partijen het toepassen van de conceptrichtlijnen in een werkende productieomgeving in plaats van een testomgeving nadrukkelijk af.

De hoge niveaus van deze beveiligingsrichtlijnen bevatten verschillende instellingen die nauwkeurig moeten worden beoordeeld voordat ze worden geïmplementeerd. Hoewel deze instellingen extra beveiligingsvoordelen opleveren, kunnen ze een nadelige invloed hebben op de bruikbaarheid van het systeem.

Wijzigingen in de toegangsbeheerlijst voor bestandssystemen en registers

Microsoft Windows XP en Microsoft Windows Server 2003 hebben aanzienlijk strengere systeemmachtigingen. De anonieme SID (Security Identifier) kan niet meer worden gebruikt in de groep Iedereen. Vanwege deze wijzigingen in het besturingssysteem van Windows XP en van Windows Server 2003, zijn ingrijpende veranderingen in bestandsmachtigingen in de hoofdmap van het besturingssysteem niet meer nodig.

Aanvullende wijzigingen van de ACL's kunnen alle of de meeste compatibiliteitstest voor toepassingen die worden uitgevoerd door Microsoft, ongeldig maken. Vaak hebben dergelijke wijzigingen niet de uitvoerige tests ondergaan die Microsoft heeft uitgevoerd op andere instellingen. Gevallen die bij Support werden gemeld en ervaringen uit de praktijk hebben aangetoond dat bewerkingen van ACL's de fundamentele werking van het besturingssysteem beïnvloeden, en dit vaak op een onbedoelde manier. Deze wijzigingen hebben invloed op de compatibiliteit en de stabiliteit van toepassingen en verminderen de functionaliteit, zowel wat betreft prestaties als mogelijkheden.

Vanwege deze wijzigingen raden wij u niet aan ACL's van bestandssystemen te wijzingen voor bestanden die onderdeel uitmaken van het besturingssysteem op productiesystemen. Wij raden u aan elke extra ACL-wijziging te vergelijken met een reeds bekend probleem om een goed beeld te krijgen van de mogelijke voordelen die een dergelijke wijziging kan betekenen voor een specifieke configuratie. Om die redenen verschaffen onze richtlijnen slechts minimale ACL-wijzigingen en dan nog alleen voor Windows 2000. Het betreft hier slechts enkele kleine wijzigingen. Deze wijzigingen worden beschreven in de Windows 2000 Security Hardening Guide.

Uitgebreide wijzigingen aan machtigingen die door het gehele register en bestandssysteem worden doorgevoerd, kunnen niet ongedaan worden gemaakt. Nieuwe mappen, zoals mappen voor gebruikersprofielen die niet bestonden bij de oorspronkelijke installatie van het besturingssysteem, kunnen worden beïnvloed. Daarom is het niet mogelijk de oorspronkelijke ACL's te herstellen wanneer een instelling voor groepsbeleid die ACL-wijzigingen uitvoert wordt verwijderd of de standaardinstellingen van het systeem worden toegepast.

Wijzigingen aan de ACL in de map %SystemDrive% kunnen tot de volgende situaties leiden:

• De Prullenbak werkt niet meer zoals het hoort en bestanden kunnen niet worden teruggezet.
• Een verlaging van de beveiliging waardoor een gewone gebruiker de inhoud van de Prullenbak van de beheerder kan bekijken.
• Gebruikersprofielen werken niet meer naar behoren.
• Een verlaging van de beveiliging waardoor interactieve gebruikers leestoegang krijgen voor enkele of alle gebruikersprofielen in het systeem.
• Prestatieproblemen wanneer veel ACL-bewerkingen worden geladen in een Groepsbeleidsobject dat wordt gekenmerkt door lange aanmeldtijden of het herhaaldelijk opnieuw opstarten van het doelsysteem.
• Prestatieproblemen, waaronder systeemvertragingen, die ongeveer om de 16 uur voorkomen wanneer de instellingen van het Groepsbeleid opnieuw worden toegepast.
• Compatibiliteitsproblemen of het vastlopen van programma's.

Om de ergste gevolgen van dergelijke bestands- en registermachtigingen weg te nemen, biedt Microsoft ondersteuning voor zover dat commercieel redelijk is en in overeenstemming is met uw ondersteuningscontract. Momenteel is het echter niet mogelijk dergelijke wijzigingen te herstellen. Wij kunnen alleen garanderen dat u kunt terugkeren naar de aanbevolen standaardinstellingen door de vaste schijf van de computer opnieuw te formatteren en het besturingsysteem opnieuw te installeren.

Wijzigingen in de register-ACL's hebben bijvoorbeeld invloed op grote delen van de registeronderdelen en kunnen tot gevolg hebben dat systemen niet meer naar behoren functioneren. Het aanpassen van ACL's in afzonderlijke registersleutels is voor vele systemen een minder groot probleem. Wij raden u echter aan dergelijke wijzigingen zorgvuldig te overwegen en grondig te testen voordat ze worden geïmplementeerd. Nogmaals, wij kunnen u alleen garanderen dat u kunt terugkeren naar de aanbevolen standaardinstellingen als u de computer opnieuw formatteert en het besturingssysteem opnieuw installeert.

Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (altijd)

Wanneer u deze instelling inschakelt, moeten clients SMB-verkeer (Server Message Block) ondertekenen wanneer ze contact zoeken met servers waarvoor geen SMB-ondertekening nodig is. Clients zijn hierdoor minder kwetsbaar voor aanvallen waarbij sessies worden overgenomen. Dit verschaft belangrijke functionaliteit, zonder dat echter een soortgelijke wijziging wordt doorgevoerd op de server voor het inschakelen van de Microsoft netwerkserver: servercommunicatie digitaal ondertekenen (altijd) of Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk). In dat geval is de client niet in staat te communiceren met de server.

Netwerktoegang: LAN Manager hashwaarde niet bewaren bij de volgende keer wachtwoord veranderen

Wanneer deze instelling wordt ingeschakeld, wordt de hashwaarde van LAN Manager (LM) voor een nieuw wachtwoord niet opgeslagen wanneer dat wachtwoord wordt gewijzigd. De LM-hash is relatief zwak en gevoelig voor aanvallen in vergelijking met de cryptografisch sterkere Microsoft Windows NT-hash. Hoewel deze instelling uitgebreide extra beveiliging biedt voor het systeem door vele bekende programma's voor het kraken van wachtwoorden te hinderen, kan de instelling ertoe leiden dat bepaalde toepassingen niet goed worden gestart of uitgevoerd.

Systeemcryptographie: gebruik FIPS-compliant algorithmes voor codering, hashing en ondertekening

Wanneer u deze instelling inschakelt, maken Microsoft Internet Information Services (IIS) en Microsoft Internet Explorer alleen gebruik van het Transport Layer Security (TLS) 1.0-protocol. Als deze instelling wordt ingeschakeld op een IIS-server, kunnen alleen webbrowsers die TLS 1.0 ondersteunen, verbinding maken. Als deze instelling wordt ingeschakeld op een webclient, kan de client alleen verbinding maken met servers die het TLS 1.0-protocol ondersteunen. Dit vereiste kan invloed hebben op de mogelijkheid van een client om websites met Secure Sockets Layer (SSL) te bezoeken.
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

Wanneer deze instelling wordt doorgevoerd op een server die gebruikmaakt van Terminal Services, worden clients bovendien gedwongen RDP-client versie 5.2 of hoger te gebruiken om verbinding te maken.

De service Automatische updates of Background Intelligent Transfer Service (BITS) is uitgeschakeld

Een van de belangrijkste punten van de beveiligingsstrategie van Microsoft is ervoor te zorgen dat systemen actueel blijven door middel van updates. Een belangrijk onderdeel van deze strategie is de service Automatische updates. Zowel Windows Update als Software Update Services maken gebruik van de service Automatische updates. De service Automatische updates is afhankelijk van de Background Intelligent Transfer Service (BITS). Als deze services zijn uitgeschakeld, kunnen computers geen updates van Windows Update meer ontvangen via Automatische updates, via de service Software Update Services (SUS) of via bepaalde installaties van Microsoft Systems Management Server (SMS). Deze services moeten alleen worden uitgeschakeld op systemen die beschikken over een effectief distributiesysteem voor updates dat niet afhankelijk is van het gebruik van BITS.

NetLogon-service is uitgeschakeld

Als u de NetLogon-service uitschakelt, wordt een werkstation onbetrouwbaar als lid van een domein. Deze instelling is misschien geschikt voor bepaalde computers die geen deel uitmaken van een domein, maar moet zorgvuldig worden beoordeeld voordat deze wordt geïmplementeerd.

NoNameReleaseOnDemand

Met deze instelling wordt voorkomen dat een server zijn NetBIOS-naam prijsgeeft als de server in conflict komt met een andere computer in het netwerk. Deze instelling is een goede preventieve maatregel voor Denial-of-Service-aanvallen tegen naamservers en andere cruciale serverrollen.

Als u deze instelling inschakelt op een werkstation, weigert het werkstation zijn NetBIOS-naam prijs te geven, zelfs als de naam conflicteert met de naam van een belangrijker systeem, zoals een domeincontroller. Door dit scenario kunnen belangrijke domeinfuncties worden uitgeschakeld. Microsoft ondersteunt initiatieven vanuit de sector om beveiligingsrichtlijnen te verschaffen die gericht zijn op implementatie in gebieden waar een hoog beveiligingsniveau is vereist. Het is echter van belang dat deze richtlijnen grondig worden getest in de doelomgeving. Wij raden systeembeheerders die beveiligingsinstellingen nodig hebben in aanvulling op de standaardinstellingen dan ook aan de door Microsoft uitgegeven richtlijnen te raadplegen als uitgangspunt voor de behoeften van hun organisatie. Voor ondersteuning of vragen over richtlijnen van derden, kunt u contact opnemen met de organisatie die de richtlijn heeft uitgegeven.