Конфигурация ядра федерального настольного компьютера
 | В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения )
|
Федеральная конфигурация ядра настольного компьютера — это список настроек безопасности , рекомендованных Национальным институтом стандартов и технологий общего назначения для микрокомпьютеров , подключенных непосредственно к сети государственного учреждения США .
FDCC представляет собой список согласованных общих основных системных функций, приложений, файлов и служб операционной системы Microsoft Windows, конфигурация которых изменена, на основе которого была создана основа для более безопасной и надежной с точки зрения безопасности операционной системы MS Windows. С 1 февраля 2008 года эти стандарты стали обязательными для каждого компьютера федерального правительства. Если вы хотели подключиться к компьютерной сети федерального офиса, ваша система должна была соответствовать стандарту FDCC или превосходить его, иначе вам было отказано в доступе.
FDCC применялся только к настольным и портативным компьютерам под управлением Windows XP и Vista и был заменен базовым уровнем конфигурации правительства США (USGCB), который включал настройки для Windows 7 и Red Hat Enterprise Linux 5.
Для Windows 7 NIST изменил соглашение об именах на Базовый уровень компьютеров правительства США (USGCB версии 2.0). Помимо отмены классификации общего руководства по настройкам Windows, NIST также публикует руководства специально для брандмауэра Windows, Internet Explorer, а также руководство (например, Vista-Energy), созданное для сбора настроек, соответствующих политике энергосбережения.
История
[ редактировать ]20 марта 2007 года Управление управления и бюджета выпустило меморандум, предписывающий правительственным учреждениям США разработать планы использования конфигураций безопасности Microsoft Windows XP и Vista. [1] [2] для Общие конфигурации безопасности ВВС США Windows XP были предложены в качестве ранней модели, на основе которой можно было разработать стандарты. [2]
Базовый уровень FDCC был разработан (и поддерживается) Национальным институтом стандартов и технологий в сотрудничестве с OMB , DHS , DOI , DISA , АНБ , USAF и Microsoft . [2] с учетом общественного обсуждения . [3] Это применимо только к системам Windows XP Professional и Vista — эти политики безопасности не тестировались (и, согласно NIST, не будут работать) в Windows 9 x /ME/NT/2000 или Windows Server 2003. [3]
Основная версия 1.1 (выпущенная 31 октября 2008 г.) не содержала новых или измененных настроек, но расширяла возможности отчетов SCAP. [3] Как и все предыдущие версии, стандарт применим к рабочим станциям общего назначения и ноутбукам конечных пользователей . Системы Windows XP и Vista, используемые в качестве серверов, освобождаются от этого стандарта. Также освобождены встраиваемые компьютеры и системы «специального назначения» (определяемые как специализированные научные , медицинские , системы управления процессами и экспериментальные системы), хотя NIST по-прежнему рекомендует рассматривать конфигурацию безопасности FDCC «там, где это возможно и целесообразно». [4]
Настройки FDCC, вообще говоря, блокируют открытые соединения в операционных системах, отключают функции, отключают редко используемые приложения в среде SOHO, отключают ненужные службы, изменяют разрешения для элементов, изменяют способ сбора и записи файлов журналов, влияют на объект групповой политики ( GPO) и изменяет записи в системном реестре Windows.
InfoWeek представил FDCC в основном администраторам и инженерам в статье под названием «Федералы этого не допускают». Стоит ли? написано Келли Джексон Хиггинс из DarkReading.com и опубликовано 4 февраля 2008 года.
Из-за сложности руководящих принципов реакция поначалу была медленной. Внедрение заняло время, пока настройки были исследованы как правительством, так и корпоративными специалистами по внедрению. NIST и NSA опубликовали руководства в текстах на сотни страниц и представили так называемые файлы SCAP для приложений. (См. страницу SCAP в Википедии)
Платформа Windows была создана для облегчения взаимодействия и работы в сети и, следовательно, оставила в операционных системах возможности для всех типов автоматических и полуавтоматических подключений к другим компьютерам. Это не были недостатки или ошибки программирования, это было намеренно создано таким образом. Пример этого можно найти, взглянув на программу удаленного подключения Windows, которая включается по умолчанию после типичной установки операционной системы Windows. Например, конфигурация FDCC/USGCB меняет этот параметр на противоположный, поэтому вам придется вручную повторно включать его, чтобы разрешить удаленные подключения.
Требования
[ редактировать ]Организации, которым необходимо документировать соответствие FDCC , могут сделать это с помощью инструментов SCAP .
В среднем документе FDCC/USGCB содержится более 600 настроек, но не все из них подходят для обычного компьютера в небольшом или домашнем офисе (SOHO). Например, выпущенная 20 июня 2008 г. основная версия FDCC 1.0 содержит 674 настройки. [3] Например, «все беспроводные интерфейсы должны быть отключены». [5] Принимая во внимание, что не все рекомендуемые настройки подходят для каждой системы, можно сделать исключения (например, «авторизованные корпоративные беспроводные сети»), если они задокументированы в отчете об отклонениях FDCC. [2] [5]
Известно, что строгое соблюдение всех рекомендуемых настроек приводит к проблемам с удобством использования. NIST публикует список известных проблем, его можно найти здесь (https://usgcb.nist.gov/usgcb/microsoft_content.html). Появилось несколько сторонних поставщиков программного обеспечения, которые утверждают, что протестировали настройки в среде SOHO, однако в настоящее время широкая общественность все еще остается относительно неосведомленной о настройках безопасности FDCC и USGCB, разработанных и предложенных NIST.
Внешние ссылки
[ редактировать ]- «Базовое решение для конфигурации правительства США» . Корпорация Майкрософт . Проверено 19 июня 2010 г.
Ссылки
[ редактировать ]- ^ «Дополнительные часто задаваемые вопросы FDCC NIST – Как мне сообщить о соответствии требованиям и отклонениях?» . Национальная база данных уязвимостей . Национальный институт стандартов и технологий. 14 декабря 2016 г.
- ^ Jump up to: а б с д Эванс, Карен С. (20 марта 2007 г.). «Управление рисками безопасности с помощью общих конфигураций безопасности» . Архивировано из оригинала ( DOC ) 21 сентября 2008 года . Проверено 2 марта 2009 г.
{{cite journal}}: Для цитирования журнала требуется|journal=( помощь ) - ^ Jump up to: а б с д «Страница загрузки FDCC» . Национальная база данных уязвимостей . Национальный институт стандартов и технологий. 14 декабря 2016 г.
- ^ «Дополнительные часто задаваемые вопросы FDCC NIST: применим ли FDCC к компьютерам специального назначения (например, научным, медицинским, системам управления процессами и экспериментальным системам)?» . Национальная база данных уязвимостей . Национальный институт стандартов и технологий. 14 декабря 2016 г.
- ^ Jump up to: а б «Дополнительные часто задаваемые вопросы FDCC NIST: существуют ли какие-либо условия, при которых разрешена беспроводная связь?» . Национальная база данных уязвимостей . Национальный институт стандартов и технологий. 14 декабря 2016 г.