I andre ord, invalidiserende 8.3-navn kan føre til problemer med programkompatibilitet, noe som kan påvirke påliteligheten av nettverket. Det kan være midlertidig løsning på noen av de resulterende problemer, men løsninger per definisjon har en tendens til å øke kompleksiteten i miljøet, og når som helst kompleksitet går opp administrasjon tendens til å gå ned (kompleks ting er generelt vanskeligere å håndtere enn enkle ting).

Så ikke deaktivere 8.3-navn på NTFS-volumer for å prøve og "boost performance" på filsystemet.

Stram opp tillatelser for% System%

Jeg har hørt alt typer "anbefalinger" om hvordan å "stramme opp" standardtillatelsene (svarer Access Control Lists eller DACLene) på systemdisken (C: stasjonen) av Windows-maskiner for å "gjøre dem sikrere". Problemet er at alt som slags råd er bare køya. Det er vanligvis motivert ikke av det, men etter noen "revisor" eller "konsulent" innleid av ledelsen som prøver å rettferdiggjøre sine høye gebyrer ved å tenke seg nye og spennende måter for å prøve å forbedre på det solide grunnlaget for baseline sikkerhet at Microsoft har bygget inn sine Windows-plattformer. Men det er bare "sikkerhet teater" som Jesper M. Johansson og Steve Riley kalte det i sin klassiske todelte artikkelen Security Myths:

http://technet.microsoft.com/library/cc512582.aspx

http://technet.microsoft.com/en-us/library/cc512607.aspx

So før du prøver å endre standard DACLene på systemdisken, for eksempel ved å fjerne Godkjente brukere, forstår at å gjøre det er svært sannsynlig kommer til å bryte Windows, eller i det minste gjøre datamaskinen unsupportable og ubrukelig. Så ikke gjør det, noensinne. Men hvis du er interessert, se figur 1 for et eksempel på systemdisken DACLene på en Windows-maskin som er svært sikker

Figur 1:. Systemet stasjonen på denne Windows-maskinen er veldig sikker
Men hvorfor folk selv synes om å gjøre denne typen ting? Svaret ligger i det siste, når organisasjoner som NSA pleide å anbefale tonn konkrete endringer til filrettigheter på system rives for å samsvare med hva NSA mente et sikkert datasystem skal se ut. Dessverre, NSA ide om hva en sikker datamaskin ser ut som sannsynligvis skiller seg mye fra hva den gjennomsnittlige virksomheten mener man bør se ut. Det er fordi bedrifter er opptatt av å tjene penger, mens organisasjoner som NSA er fokusert på, vel, kan du lese deres virksomhets statemen her.

Men dagene av NSA gi eksplisitt råd for ACL på Windows-filsystemer er langt tidligere. Det er fordi Microsoft jobbet tett med NSA og bransjeorganisasjoner som NIST når det utformet ACL for Windows XP. Dette samarbeidet resulterte i Federal Desktop Core-konfigurasjon (FDCC) for Windows XP, som siden har utviklet seg til den amerikanske regjeringen Configuration Baseline (USGCB) for Windows-plattformen som du kan lære mer om fra sin blogg. Målet med dette initiativet var å utvikle et sett med baseline innstillinger for Windows i høye sikkerhetsmiljøer.

Dessverre, selv denne prosessen hadde sine hikke underveis. For eksempel, når Microsoft publiserte sin opprinnelige Windows XP Security Baseline veiledning, en av sine anbefalinger var at Registerredigering (regedit.exe) skal ha sine tillatelser endret slik at vanlige brukere ikke kunne starte programmet. Hvorfor? Fordi det er åpenbart at å la vanlige brukere har tilgang til Registerredigering var et gapende stort sikkerhetshull, ikke sant? Dessverre ble det oppdaget snart at å låse ned regedit.exe som dette forhindret Windows XP fra vellykket lasting brukerens profil, slik veiledning måtte endres for å imøtekomme dette problemet (se denne linken for mer om denne historien).

Spol frem i dag, og du vil finne at ingen av de store sikkerhets og standarder organisasjoner som NIST, CIS, NSA, DISA, DoD og så videre gi noen anbefalinger for å endre standard sikkerhets for systemet stasjonen på Windows Vista eller Windows 7 . Det er fordi nesten alle endringer du gjør i standard DACLene vil føre til noen form for programkompatibilitet problemet på datamaskinen. Og faktisk, noen av anbefalingene som disse organisasjonene pleide å gjøre før Windows XP ble faktisk funnet å løsne sikkerheten til datamaskinen i stedet for å skru den fast.

Hvis du trenger en "sikrere Windows" da være trygge og begrense deg til anbefalingene fra USGCB funnet her, og ikke prøve å gjøre opp din egen sikkerhet veiledning. Stick med kjente og velprøvde løsninger som Aaron Margosis beskriver i sin blogg. På den måten Windows-nettverket vil bli sikker, pålitelig, håndterbare, og vil gi gode resultater

Oppsummering så langt

Her er hva vi har lært så langt i de to første artiklene i denne serien.:

Vil du gjøre dine Windows-datamaskiner mindre pålitelige? Skriv direkte til register steder der policyinnstillinger er lagret!