Федеральная конфигурация ядра рабочего стола - Federal Desktop Core Configuration

В Федеральная конфигурация ядра рабочего стола это список безопасность настройки, рекомендованные Национальный институт стандартов и технологий для общего назначения микрокомпьютеры которые подключены непосредственно к сети Правительственное агентство США.

FDCC - это список согласованных общих основных системных функций операционной системы Microsoft Windows, приложений, файлов и служб, которые изменяются в их конфигурации, на основе которых была создана структура для более безопасной и надежной операционной системы MS Windows. Затем стандарты стали обязательными для каждого компьютера федерального правительства с 1 февраля 2008 года. Если вы хотели подключиться к компьютерной сети федерального офиса, ваша система должна была соответствовать или превосходить стандарт FDCC, или вам было отказано в доступе.

FDCC применяется только к Windows XP и Vista настольных и портативных компьютеров и был заменен на Базовая конфигурация правительства США (USGCB), который включал настройки для Windows 7 и Red Hat Enterprise Linux 5.

Для Windows 7 NIST изменил соглашение об именах на Базовый уровень компьютеров правительства США (USGCB вер. 2.0). Помимо классификации общего руководства по параметрам Windows, NIST также публикует руководства, специально предназначенные для брандмауэра Windows, Internet Explorer, и руководство (например, Vista-Energy), созданное для регистрации параметров, соответствующих политикам энергосбережения.

История

20 марта 2007 г. Управление управления и бюджета выпустил меморандум, в котором правительственным учреждениям США предписывалось разработать планы использования конфигураций безопасности Microsoft Windows XP и Vista.[1][2] В ВВС США общие конфигурации безопасности для Windows XP были предложены как ранняя модель, на основе которой могли быть разработаны стандарты.[2]

Базовый уровень FDCC был разработан (и поддерживается) Национальный институт стандартов и технологий в сотрудничестве с OMB, DHS, DOI, DISA, АНБ, ВВС США и Microsoft,[2] с участием общественный комментарий.[3] Это применимо только к системам Windows XP Professional и Vista - эти политики безопасности не тестируются (и, согласно NIST, не будут работать) в Windows 9.Икс/ ME / NT / 2000 или Windows Server 2003.[3]

В основной версии 1.1 (выпущенной 31 октября 2008 г.) не было новых или измененных настроек, но были расширены параметры отчетов SCAP.[3] Как и все предыдущие версии, стандарт применим к рабочим станциям общего назначения и ноутбукам для конечные пользователи. Системы Windows XP и Vista, используемые в качестве серверов, не подпадают под действие этого стандарта. Также освобождены встроенные компьютеры и системы "специального назначения" (определяемые как специализированные научный, медицинский, контроль процесса, и экспериментальные системы), хотя NIST по-прежнему рекомендует рассматривать конфигурацию безопасности FDCC «там, где это возможно и целесообразно».[4]

Параметры FDCC, вообще говоря, блокируют открытые соединения в операционных системах, отключают функции, отключают редко используемые приложения в среде SOHO, отключают ненужные службы, изменяют права доступа к элементам, изменяют способ сбора и записи файлов журнала, влияет на объект групповой политики ( GPO) и изменяет записи в системном реестре Windows.

InfoWeek представил FDCC в основном администраторам и инженерам статьей под названием «Федералы этого не допускают. Стоит ли вам? », Написанная Келли Джексон Хиггинс из DarkReading.com и опубликованная 4 февраля 2008 г.

Первоначально ответ был медленным из-за сложности руководства. Внедрение потребовало времени, пока настройки были исследованы специалистами по внедрению как государством, так и предприятием. NIST и NSA опубликовали руководства в текстах объемом в сотни страниц и представили то, что они называли файлами SCAP для приложений. (См. Страницу SCAP в Википедии)

Платформа Windows была создана для облегчения взаимодействия и работы в сети и, следовательно, оставила в операционных системах возможности для всех типов автоматических и полуавтоматических подключений к другим компьютерам. Это не были изъяны или ошибки программирования, это было специально построено таким образом. Пример этого можно найти, посмотрев на программу удаленного подключения Windows, которая включен по умолчанию после обычной установки операционной системы Windows. Например, конфигурация FDCC / USGCB меняет эту настройку на обратную, так что вам придется вручную повторно включить, чтобы разрешить удаленные подключения.

Требования

Организации, необходимые для документирования FDCC согласие можно сделать это, используя SCAP инструменты.

В среднем документе FDCC / USGCB содержится более 600 настроек, но не все из них подходят для среднего компьютера малого или домашнего офиса (SOHO). Например, выпущенная 20 июня 2008 г., основная версия 1.0 FDCC содержит 674 параметра.[3] Например, «все беспроводные интерфейсы должны быть отключены».[5] Признавая, что не все рекомендуемые настройки будут практичными для каждой системы, могут быть сделаны исключения (такие как «авторизованные корпоративные беспроводные сети»), если они задокументированы в отчете FDCC об отклонениях.[2][5]

Известно, что строгая реализация всех рекомендуемых параметров вызывает проблемы с удобством использования. NIST публикует список известных проблем, и его можно найти здесь (https://usgcb.nist.gov/usgcb/microsoft_content.html). Появилось несколько сторонних поставщиков программного обеспечения, которые утверждают, что протестировали настройки в среде SOHO, однако в настоящее время широкая публика все еще относительно не осведомлена о настройках безопасности FDCC и USGCB, разработанных и предложенных NIST.

внешняя ссылка

  • «Базовое решение для конфигурации правительства США». Корпорация Майкрософт. Получено 19 июн 2010.

Рекомендации

  1. ^ «F D C C Дополнительные часто задаваемые вопросы NIST - как сообщить о соответствии и отклонениях?». Национальная база данных уязвимостей. Национальный институт стандартов и технологий.
  2. ^ а б c d Эванс, Карен С. (20 марта 2007 г.). «Управление рисками безопасности с помощью общих конфигураций безопасности». Архивировано из оригинал (DOC ) 21 сентября 2008 г.. Получено 2 марта 2009. Цитировать журнал требует | журнал = (помощь)
  3. ^ а б c d "Страница загрузки F D C C". Национальная база данных уязвимостей. Национальный институт стандартов и технологий.
  4. ^ «F D C C Дополнительные часто задаваемые вопросы NIST - применим ли FDCC к компьютерам специального назначения (например, научным, медицинским, технологическим и экспериментальным системам)?». Национальная база данных уязвимостей. Национальный институт стандартов и технологий.
  5. ^ а б «F D C C Дополнительные часто задаваемые вопросы NIST - существуют ли условия, при которых разрешена беспроводная связь?». Национальная база данных уязвимостей. Национальный институт стандартов и технологий.