Konfigurace Federal Desktop Core - Federal Desktop Core Configuration

The Konfigurace Federal Desktop Core je seznam bezpečnostní nastavení doporučená Národní institut pro standardy a technologie pro všeobecné účely mikropočítače které jsou připojeny přímo k síti a Vládní agentura Spojených států.

FDCC je seznam dohodnutých společných základních funkcí operačního systému Microsoft Windows, aplikací, souborů a služeb, které jsou změněny v jejich konfiguraci, kolem kterého byl vytvořen rámec pro bezpečnější a bezpečnější operační systém MS Windows. Standardy byly poté povinné pro každý počítač federální vlády s platností od 1. února 2008. Pokud jste se chtěli připojit k počítačové síti federální kanceláře, váš systém musel splňovat nebo překračovat standard FDCC nebo vám byl odepřen přístup.

FDCC platí pouze pro Windows XP a Průhled stolní a přenosné počítače a byl nahrazen Základní konfigurace vlády USA (USGCB), který zahrnoval nastavení pro Windows 7 a Red Hat Enterprise Linux 5.

U Windows 7 NIST změnila konvenci pojmenování na US Government Computer Baseline (USGCB ver 2.0). Kromě neklasifikace obecného průvodce nastavením Windows publikuje NIST také průvodce konkrétně pro Windows Firewall, Internet Explorer a průvodce (například Vista-Energy) vytvořený k zachycení nastavení, která dodržují zásady zachování energie.

Dějiny

Dne 20. Března 2007 Úřad pro správu a rozpočet vydal memorandum, které vládním agenturám USA ukládá vypracovat plány pro používání bezpečnostních konfigurací Microsoft Windows XP a Vista.^[1]^[2] The United States Air Force společné konfigurace zabezpečení pro Windows XP byly navrženy jako časný model, na kterém lze vyvíjet standardy.^[2]

Základní linie FDCC byla vyvinuta (a je udržována) Národní institut pro standardy a technologie ve spolupráci s OMB, DHS, DOI, DISA, NSA, USAF a Microsoft,^[2] se vstupem z veřejný komentář.^[3] Platí pouze pro systémy Windows XP Professional a Vista - tyto zásady zabezpečení nejsou testovány (a podle NIST nebudou fungovat) v systému Windows 9X/ ME / NT / 2000 nebo Windows Server 2003.^[3]

Hlavní verze 1.1 (vydaná 31. října 2008) neměla žádná nová ani změněná nastavení, ale rozšířila možnosti hlášení SCAP.^[3] Stejně jako u všech předchozích verzí je standard použitelný pro univerzální pracovní stanice a notebooky pro koneční uživatelé. Systémy Windows XP a Vista používané jako servery jsou z této normy vyňaty. Vyňaty jsou také vestavěné počítače a systémy "zvláštního určení" (definované jako specializované systémy) vědecký, lékařský, kontrola procesu a experimentální systémy) NIST stále doporučuje, aby byla konfigurace zabezpečení FDCC považována za „pokud je to proveditelné a vhodné“.^[4]

Nastavení FDCC obecně blokuje otevřená připojení v operačních systémech, zakazuje funkce, zakazuje zřídka používané aplikace v prostředí SOHO, zakazuje nepotřebné služby, mění oprávnění k položkám, mění způsob shromažďování a zaznamenávání souborů protokolu, ovlivňuje objekt zásad skupiny ( GPO) a mění položky v registru systému Windows.

InfoWeek představil FDCC hlavně správcům a technikům v článku nazvaném „Federálové to neumožňují“. Měl bys? “Napsala Kelly Jackson Higgins z DarkReading.com a zveřejněna 4. února 2008.

Vzhledem ke složitosti pokynů byla reakce zpočátku pomalá. Implementace zabrala nějaký čas, zatímco nastavení byla interně prozkoumána vládními i podnikovými implementačními technologiemi. NIST a NSA zveřejnily pokyny ve stovkách stránek a představily soubory, které nazývají SCAP pro aplikace. (Viz stránku SCAP Wikipedia)

Platforma Windows byla vytvořena pro snadnou interoperabilitu a vytváření sítí, a proto ponechala v operačních systémech příležitosti pro všechny typy automatického a poloautomatického připojení k jiným počítačům. To nebyly chyby ani programové chyby, bylo to záměrně postaveno. Příklad toho lze najít při pohledu na program Windows Remote Connection, který je ve výchozím nastavení povoleno po typické instalaci operačního systému Windows. Například konfigurace FDCC / USGCB zruší toto nastavení, takže je nutné ručně znovu povolit povolení vzdálených připojení.

Požadavky

Organizace povinné dokumentovat FDCC dodržování můžete tak učinit pomocí SCAP nástroje.

V průměrném dokumentu FDCC / USGCB je více než 600 nastavení - ale ne všechna jsou použitelná pro průměrný počítač malé nebo domácí kanceláře (SOHO). Například FDCC Major verze 1.0 vydaná 20. června 2008 specifikuje 674 nastavení.^[3] Například „všechna bezdrátová rozhraní by měla být deaktivována“.^[5] Vzhledem k tomu, že ne všechna doporučená nastavení budou praktická pro každý systém, lze provést výjimky (například „autorizované podnikové bezdrátové sítě“), pokud jsou zdokumentovány ve zprávě o odchylce FDCC.^[2]^[5]

Je známo, že přísná implementace všech doporučených nastavení způsobuje problémy s použitelností. NIST publikuje seznam známých problémů a je k dispozici zde (https://usgcb.nist.gov/usgcb/microsoft_content.html). Existuje několik dodavatelů softwaru třetích stran, kteří tvrdí, že testovali nastavení v prostředí SOHO, avšak v současné době veřejnost stále relativně neví o nastavení zabezpečení FDCC a USGCB vyvinutém a navrženém NIST.

externí odkazy

„Základní řešení konfigurace vlády USA“. společnost Microsoft. Citováno 19. června 2010.

Reference

^ „F D C C Dodatečné NIST Často kladené otázky - Jak mohu nahlásit shodu a odchylky?“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.
^ ^A ^b ^C ^d Evans, Karen S. (20. března 2007). „Správa bezpečnostních rizik pomocí běžných konfigurací zabezpečení“. Archivovány od originál (DOC ) dne 21. září 2008. Citováno 2. března 2009. Citovat deník vyžaduje | deník = (Pomoc)
^ ^A ^b ^C ^d „Stránka ke stažení F D C C“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.
^ „F D C C Dodatečné často kladené otázky NIST - Je FDCC použitelné pro počítače se zvláštním účelem (např. Vědecké, lékařské, procesní a experimentální systémy)?“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.
^ ^A ^b „F D C C Dodatečné NIST Často kladené otázky - Existují nějaké podmínky, za kterých je bezdrátové připojení povoleno?“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.

[faq13-1] „F D C C Dodatečné NIST Často kladené otázky - Jak mohu nahlásit shodu a odchylky?“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.

[EvansMemo-2] A ^b ^C ^d Evans, Karen S. (20. března 2007). „Správa bezpečnostních rizik pomocí běžných konfigurací zabezpečení“. Archivovány od originál (DOC ) dne 21. září 2008. Citováno 2. března 2009. Citovat deník vyžaduje | deník = (Pomoc)

[download-3] A ^b ^C ^d „Stránka ke stažení F D C C“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.

[faq1-4] „F D C C Dodatečné často kladené otázky NIST - Je FDCC použitelné pro počítače se zvláštním účelem (např. Vědecké, lékařské, procesní a experimentální systémy)?“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.

[faq10-5] A ^b „F D C C Dodatečné NIST Často kladené otázky - Existují nějaké podmínky, za kterých je bezdrátové připojení povoleno?“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie.

[1]

[2]

[3]

[4]

[5]