Federal Masaüstü Çekirdek Yapılandırması - Federal Desktop Core Configuration

Federal Masaüstü Çekirdek Yapılandırması bir listesidir güvenlik tarafından önerilen ayarlar Ulusal Standartlar ve Teknoloji Enstitüsü genel amaçlı mikro bilgisayarlar doğrudan bir ağa bağlı olan Amerika Birleşik Devletleri devlet kurumu.

FDCC, Microsoft Windows işletim sistemi üzerinde üzerinde anlaşmaya varılan ortak çekirdek sistem işlevleri, uygulamaları, dosyaları ve yapılandırmalarında değiştirilen ve çevresinde daha güvenli ve güvenlik açısından güvenilir bir MS Windows işletim sistemi için bir çerçeve oluşturulmuş hizmetlerin bir listesidir. Standartlar daha sonra 1 Şubat 2008 tarihinden itibaren her federal hükümet bilgisayarı için zorunlu hale getirildi. Federal bir ofis bilgisayar ağına bağlanmak istiyorsanız, sisteminizin FDCC standardını karşılaması veya aşması gerekiyordu veya erişiminiz reddedildi.

FDCC yalnızca Windows XP ve Vista masaüstü ve dizüstü bilgisayarlar ile değiştirildi ve Amerika Birleşik Devletleri Hükümeti Yapılandırması Temel (USGCB), Windows 7 ve Red Hat Enterprise Linux 5 için ayarları içeren.

Windows 7 için NIST, adlandırma kuralını ABD Hükümeti Bilgisayar Tabanına (USGCB sürüm 2.0) değiştirdi. Genel bir Windows ayarları kılavuzunun sınıflandırmasının kaldırılmasına ek olarak, NIST ayrıca özellikle Windows Güvenlik Duvarı, Internet Explorer için kılavuzlar ve enerji tasarrufu ilkelerine uyan ayarları yakalamak için oluşturulmuş bir kılavuz (örneğin Vista-Energy) yayınlar.

Tarih

20 Mart 2007'de Yönetim ve Bütçe Ofisi Amerika Birleşik Devletleri hükümet kurumlarına Microsoft Windows XP ve Vista güvenlik yapılandırmalarını kullanma planları geliştirmeleri talimatını veren bir bildiri yayınladı.^[1]^[2] Birleşik Devletler Hava Kuvvetleri Windows XP için ortak güvenlik yapılandırmaları, standartların geliştirilebileceği erken bir model olarak önerildi.^[2]

FDCC temel çizgisi, şirket tarafından geliştirilmiştir (ve sürdürülmektedir). Ulusal Standartlar ve Teknoloji Enstitüsü birlikte OMB, DHS, DOI, DISA, NSA, USAF ve Microsoft,^[2] gelen girdiyle halka açık yorum.^[3] Yalnızca Windows XP Professional ve Vista sistemleri için geçerlidir - bu güvenlik politikaları Windows 9'da test edilmemiştir (ve NIST'e göre çalışmayacaktır)x/ ME / NT / 2000 veya Windows Server 2003.^[3]

Ana Sürüm 1.1'de (31 Ekim 2008'de yayınlandı) yeni veya değiştirilmiş ayarlar yoktu, ancak genişletilmiş SCAP raporlama seçenekleri vardı.^[3] Önceki tüm sürümlerde olduğu gibi, standart genel amaçlı iş istasyonları ve dizüstü bilgisayarlar için geçerlidir. son kullanıcılar. Sunucu olarak kullanılan Windows XP ve Vista sistemleri bu standarttan muaftır. Ayrıca muaftır gömülü bilgisayarlar ve "özel amaçlı" sistemler (özel olarak tanımlanır ilmi, tıbbi, Süreç kontrolü ve deneysel sistemler) NIST yine de FDCC güvenlik yapılandırmasının "mümkün ve uygun olduğunda" dikkate alınmasını tavsiye etmektedir.^[4]

Genel anlamda FDCC ayarları, işletim sistemlerindeki açık bağlantıları engeller, işlevleri devre dışı bırakır, SOHO ortamında nadiren kullanılan uygulamaları devre dışı bırakır, gereksiz hizmetleri devre dışı bırakır, öğeler üzerindeki izinleri değiştirir, günlük dosyalarının toplanma ve kaydedilme şeklini değiştirir, Grup İlkesi Nesnesini etkiler ( GPO) ayarları ve Windows sistem kayıt defterindeki girişleri değiştirir.

InfoWeek, FDCC'yi "Federaller İzin Vermiyor" başlıklı makale ile çoğunlukla yöneticilere ve mühendislere tanıttı. DarkReading.com'dan Kelly Jackson Higgins tarafından yazılmış ve 4 Şubat 2008'de yayınlanmıştır.

Yönergelerin karmaşıklığı nedeniyle başlangıçta yanıt yavaştı. Ayarlar hem hükümet hem de kurumsal uygulama teknisyenleri tarafından dahili olarak araştırılırken uygulama zaman aldı. NIST ve NSA, yüzlerce sayfalık metinlerde kılavuzlar yayınladı ve uygulamalar için SCAP dosyaları dedikleri şeyi tanıttı. (Wikipedia SCAP sayfasına bakın)

Windows platformu, kolay birlikte çalışabilirlik ve ağ oluşturma için oluşturuldu ve bu nedenle işletim sistemleri içinde diğer bilgisayarlara her türlü otomatik ve yarı otomatik bağlantı için fırsatlar bıraktı. Bunlar kusurlar veya programlama hataları değildi, kasıtlı olarak bu şekilde oluşturuldu. Bunun bir örneği, Windows Uzaktan Bağlantı programına bakılarak bulunabilir. varsayılan olarak etkindir tipik bir Windows işletim sistemi kurulumundan sonra. Örneğin FDCC / USGCB yapılandırması, bu ayarı tersine çevirir, böylece uzak bağlantılara izin vermek için manuel olarak yeniden etkinleştirmeniz gerekir.

Gereksinimler

FDCC'yi belgelemek için gereken kuruluşlar uyma bunu kullanarak yapabilir SCAP araçlar.

Ortalama FDCC / USGCB belgesinde 600'den fazla ayar vardır, ancak bunların tümü ortalama küçük veya ev ofis (SOHO) bilgisayarı için kullanılamaz. Örneğin, 20 Haziran 2008'de yayınlanan FDCC Major Sürüm 1.0, 674 ayarı belirtir.^[3] Örneğin, "tüm kablosuz arayüzler devre dışı bırakılmalıdır".^[5] Önerilen tüm ayarların her sistem için pratik olmayacağı kabul edilerek, bir FDCC sapma raporunda belgelenmesi durumunda istisnalar ("yetkili kurumsal kablosuz ağlar" gibi) yapılabilir.^[2]^[5]

Tüm önerilen ayarların sıkı bir şekilde uygulanmasının kullanılabilirlik sorunlarına neden olduğu bilinmektedir. NIST, bilinen sorunların bir listesini yayınlar ve burada bulunabilir (https://usgcb.nist.gov/usgcb/microsoft_content.html). Bir SOHO ortamında ayarları test ettiğini iddia eden birkaç üçüncü taraf yazılım satıcısı var, ancak şu anda genel halk hala NIST tarafından geliştirilen ve öne sürülen FDCC ve USGCB güvenlik ayarlarından nispeten habersiz kalıyor.

Dış bağlantılar

"ABD Hükümeti Yapılandırması Temel çözümü". Microsoft şirketi. Alındı 19 Haziran 2010.

Referanslar

^ "F D C C Ek NIST Sık Sorulan Sorular - Uyumluluk ve sapmaları nasıl bildirebilirim?". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.
^ ^a ^b ^c ^d Evans, Karen S. (20 Mart 2007). "Genel Güvenlik Yapılandırmalarını Kullanarak Güvenlik Riskini Yönetme". Arşivlenen orijinal (DOC ) 21 Eylül 2008. Alındı 2 Mart 2009. Alıntı dergisi gerektirir | günlük = (Yardım)
^ ^a ^b ^c ^d "F D C C indirme sayfası". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.
^ "F D C C Ek NIST Sıkça Sorulan Sorular - FDCC özel amaçlı (örneğin, bilimsel, tıbbi, süreç kontrolü ve deneysel sistemler) bilgisayarlara uygulanabilir mi?". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.
^ ^a ^b "F D C C Ek NIST Sık Sorulan Sorular - Kablosuza izin verilen herhangi bir koşul var mı?". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.

[faq13-1] "F D C C Ek NIST Sık Sorulan Sorular - Uyumluluk ve sapmaları nasıl bildirebilirim?". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.

[EvansMemo-2] Evans, Karen S. (20 Mart 2007). "Genel Güvenlik Yapılandırmalarını Kullanarak Güvenlik Riskini Yönetme". Arşivlenen orijinal (DOC ) 21 Eylül 2008. Alındı 2 Mart 2009. Alıntı dergisi gerektirir | günlük = (Yardım)

[download-3] "F D C C indirme sayfası". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.

[faq1-4] "F D C C Ek NIST Sıkça Sorulan Sorular - FDCC özel amaçlı (örneğin, bilimsel, tıbbi, süreç kontrolü ve deneysel sistemler) bilgisayarlara uygulanabilir mi?". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.

[faq10-5] "F D C C Ek NIST Sık Sorulan Sorular - Kablosuza izin verilen herhangi bir koşul var mı?". Ulusal Güvenlik Açığı Veritabanı. Ulusal Standartlar ve Teknoloji Enstitüsü.

[1]

[2]

[3]

[4]

[5]