АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Базовая конфигурация рабочих станций федеральных органов

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Базовая конфигурация рабочих станций федеральных органов (англ. Federal Desktop Core Configuration, FDCC) — перечень рекомендуемых настроек безопасности, разработанный Национальным институтом стандартов и технологий США (NIST) для универсальных микрокомпьютеров, подключённых непосредственно к сетям федеральных агентств США[1].

FDCC представляет собой согласованный набор системных функций, приложений, файлов и служб операционных систем семейства Microsoft Windows, параметры которых изменяются с целью формирования более защищённой среды и повышения надёжности безопасности ОС Windows. Стандарты FDCC были обязательны к исполнению на всех компьютерах федеральных органов США с 1 февраля 2008 года. Для подключения к внутренней сети федерального учреждения система должна соответствовать (или превосходить) данный стандарт, иначе доступ блокировался.

FDCC распространялась исключительно на рабочие станции и ноутбуки под управлением Windows XP и Windows Vista, позднее была заменена стандартом USGCB, который охватывает также Windows 7 и Red Hat Enterprise Linux 5.

Для Windows 7 NIST изменил наименование стандарта на «Базовые конфигурации федеральных органов США» (англ. United States Government Configuration Baseline, USGCB версии 2.0). Помимо создания обобщённого руководства по настройкам Windows, NIST публикует специальные инструкции для Windows Firewall, Internet Explorer, а также отдельные руководства, посвящённые политикам энергоэффективности (например, Vista-Energy).

История

20 марта 2007 года Управление по вопросам менеджмента и бюджета США выпустило меморандум с требованием к федеральным агентствам разработать планы перехода на рекомендованные настройки безопасности Microsoft Windows XP и Vista[1].[2] В качестве ранней модели для выработки стандартов были предложены рекомендации по безопасности Windows XP, применявшиеся в Военно-воздушных силах США[2].

Базовый набор настроек FDCC был разработан (и поддерживается) NIST во взаимодействии с Управлением по вопросам менеджмента и бюджета, Департаментом внутренней безопасности США, Министерством внутренних дел США, DISA, АНБ, ВВС США и компанией Microsoft[2], а также с учётом общественных обсуждений[3]. Его действие распространяется только на Windows XP Professional и Vista — эти политики безопасности не тестировались (и, согласно NIST, не будут работать) на Windows 9x/ME/NT/2000 и Windows Server 2003[3].

Основная версия 1.1 (31 октября 2008) не содержала новых/изменённых настроек, но добавила дополнительные возможности отчётности SCAP[3] Как и предыдущие редакции, стандарт предназначен для универсальных рабочих станций и ноутбуков конечных пользователей. Компьютеры под управлением Windows XP/Vista, использующиеся как серверы, а также встроенные устройства и специализированные комплексы (например, научные, медицинские, промышленные и экспериментальные системы), освобождаются от требований FDCC, однако NIST рекомендует придерживаться соответствующих настроек безопасности «по мере возможности и целесообразности».[4].

Настройки FDCC, как правило, блокируют открытые соединения в ОС, отключают определённые функции и редко используемые в среде малого офиса приложения, выключают неиспользуемые службы, изменяют права доступа, настраивают сбор и хранение логов, влияют на параметры объектов групповой политики (GPO) и вносят изменения в системный реестр Windows.

О внедрении FDCC техническому сообществу впервые рассказало издание InfoWeek в материале Келли Джексон Хиггинс (DarkReading.com) «The Feds Don’t Allow It. Should You?» от 4 февраля 2008 года.

Из-за сложности требований внедрение стандарта шло медленно. Необходимость проработки настроек вызывала трудности как в государственных, так и в частных организациях. NIST и АНБ публиковали подробные руководства по применению — объёмом в сотни страниц — и внедрили так называемые SCAP-файлы для приложений.

Операционные системы Windows изначально разрабатывались с прицелом на широкую совместимость и сетевое взаимодействие, что оставляло возможности для многих автоматических и полуавтоматических соединений с другими компьютерами. Это не являлось ошибкой, а было предусмотрено архитектурой. Например, программа удалённого подключения Windows включена по умолчанию после обычной установки ОС. FDCC/USGCB предписывает изменение этих настроек: чтобы разрешить удалённый доступ, администратор должен включить его вручную.

Требования

Организации, обязанные подтверждать соответствие стандарту FDCC, могут делать это с помощью инструментов SCAP.

В типовых документах FDCC/USGCB содержится более 600 настроек — однако далеко не все из них применимы к компьютерам малого офиса или частным (SOHO) устройствам. Так, опубликованная 20 июня 2008 года версия 1.0 FDCC включала 674 пункта[3]. Пример: «должны быть отключены все беспроводные интерфейсы»[5]. Осознавая, что не все настройки уместны для любой системы, допускаются исключения (например, авторизованные корпоративные беспроводные сети), если они документированы в отчёте о расхождениях с FDCC[2][5].

Строгое применение всех рекомендаций способно вызвать проблемы с удобством использования. NIST поддерживает публичный список известных проблем с настройками. Существуют сторонние поставщики программного обеспечения, тестировавшие параметры FDCC в условиях домашнего и малого офиса, однако широкая публика по-прежнему мало знакома с этими стандартами.

Примечания

  1. 1 2 FDCC: Часто задаваемые вопросы NIST — Как сообщить о соответствии и отклонениях? National Vulnerability Database. National Institute of Standards and Technology (14 декабря 2016). Дата обращения: 19 июня 2024. Архивировано 4 июля 2008 года.
  2. 1 2 3 4 Evans, Karen S. (20 марта 2007). “Управление рисками безопасности с помощью единых конфигураций безопасности” [англ.]. Архивировано из оригинала 21 сентября 2008. Дата обращения 2024-06-19. Используется устаревший параметр |url-status= (справка)
  3. 1 2 3 4 Страница загрузки FDCC. National Vulnerability Database. National Institute of Standards and Technology (14 декабря 2016). Дата обращения: 19 июня 2024. Архивировано 11 марта 2008 года.
  4. FDCC: Часто задаваемые вопросы NIST — Применим ли FDCC к специализированным системам (например, научным, медицинским, производственным)? National Vulnerability Database. National Institute of Standards and Technology (14 декабря 2016). Дата обращения: 19 июня 2024. Архивировано 2 августа 2008 года.
  5. 1 2 FDCC: Часто задаваемые вопросы NIST — В каких случаях допускается использование беспроводных сетей? National Vulnerability Database. National Institute of Standards and Technology (14 декабря 2016). Дата обращения: 19 июня 2024. Архивировано 4 июля 2008 года.

Категории