La Federal Desktop Core Configuration es una lista de configuraciones de seguridad recomendadas por el Instituto Nacional de Estándares y Tecnología para microcomputadoras de uso general que están conectadas directamente a la red de una agencia gubernamental de los Estados Unidos .
La FDCC es una lista de funciones, aplicaciones, archivos y servicios básicos comunes del sistema operativo Microsoft Windows que se modifican en su configuración en torno a la cual se creó un marco para un sistema operativo MS Windows más seguro y confiable. Luego, los estándares se hicieron obligatorios para todas las computadoras del gobierno federal a partir del 1 de febrero de 2008. Si deseaba conectarse a la red informática de una oficina federal, su sistema tenía que cumplir o superar el estándar FDCC o se le denegaba el acceso.
FDCC se aplicaba sólo a computadoras de escritorio y portátiles con Windows XP y Vista y fue reemplazada por la Línea Base de Configuración del Gobierno de los Estados Unidos (USGCB), que incluía configuraciones para Windows 7 y Red Hat Enterprise Linux 5.
Para Windows 7, el NIST cambió la convención de nomenclatura a US Government Computer Baseline (USGCB ver 2.0). Además de desclasificar una guía de configuración general de Windows, el NIST también publica guías específicas para Windows Firewall, Internet Explorer y una guía (Vista-Energy, por ejemplo) creada para capturar configuraciones que cumplen con las políticas de conservación de energía.
El 20 de marzo de 2007, la Oficina de Gestión y Presupuesto emitió un memorando en el que instruía a las agencias gubernamentales de los Estados Unidos a desarrollar planes para utilizar las configuraciones de seguridad de Microsoft Windows XP y Vista. [1] [2] Las configuraciones de seguridad comunes de la Fuerza Aérea de los Estados Unidos para Windows XP se propusieron como un modelo inicial sobre el cual se podrían desarrollar estándares. [2]
La línea de base de la FDCC fue desarrollada (y mantenida) por el Instituto Nacional de Estándares y Tecnología en colaboración con OMB , DHS , DOI , DISA , NSA , USAF y Microsoft , [2] con aportes de comentarios públicos . [3] Se aplica únicamente a los sistemas Windows XP Professional y Vista; estas políticas de seguridad no se prueban (y según el NIST, no funcionarán) en Windows 9 x /ME/NT/2000 o Windows Server 2003. [3]
La versión principal 1.1 (lanzada el 31 de octubre de 2008) no tenía configuraciones nuevas ni modificadas, pero ampliaba las opciones de informes SCAP. [3] Como ocurre con todas las versiones anteriores, el estándar es aplicable a estaciones de trabajo de uso general y portátiles para usuarios finales . Los sistemas Windows XP y Vista utilizados como servidores están exentos de esta norma. También están exentas las computadoras integradas y los sistemas de "propósito especial" (definidos como sistemas científicos , médicos , de control de procesos y experimentales especializados), aunque el NIST aún recomienda que se considere la configuración de seguridad FDCC "cuando sea factible y apropiado". [4]
La configuración de FDCC, en términos generales, bloquea conexiones abiertas en los sistemas operativos, deshabilita funciones, deshabilita aplicaciones poco utilizadas en el entorno SOHO, deshabilita servicios innecesarios, cambia permisos sobre elementos, cambia la forma en que se recopilan y registran los archivos de registro, afecta el objeto de política de grupo ( GPO) y modifica las entradas en el registro del sistema de Windows.
InfoWeek presentó la FDCC principalmente a administradores e ingenieros con el artículo titulado "Los federales no lo permiten". ¿Deberías hacerlo? escrito por Kelly Jackson Higgins de DarkReading.com y publicado el 4 de febrero de 2008.
Debido a la complejidad de las directrices, la respuesta inicialmente fue lenta. La implementación tomó tiempo mientras los técnicos de implementación tanto gubernamentales como empresariales investigaban internamente las configuraciones. El NIST y la NSA publicaron directrices en textos de cientos de páginas e introdujeron lo que llamaron archivos SCAP para aplicaciones. (Ver página SCAP de Wikipedia)
La plataforma Windows se creó para facilitar la interoperabilidad y la creación de redes y, por lo tanto, dejó oportunidades dentro de los sistemas operativos para todo tipo de conexiones automáticas y semiautomáticas a otras computadoras. No se trataba de fallas ni errores de programación, sino que se construyó de esa manera a propósito. Se puede encontrar un ejemplo de esto mirando el programa Conexión remota de Windows, que está habilitado de forma predeterminada después de una instalación típica del sistema operativo Windows. La configuración FDCC/USGCB, por ejemplo, invierte esa configuración, por lo que debe volver a habilitarla manualmente para permitir conexiones remotas.
Las organizaciones que deben documentar el cumplimiento de la FDCC pueden hacerlo mediante el uso de herramientas SCAP .
Hay más de 600 configuraciones en un documento FDCC/USGCB promedio, pero no todas son utilizables para una computadora pequeña o de oficina doméstica (SOHO) promedio. Por ejemplo, publicada el 20 de junio de 2008, la versión principal 1.0 de FDCC especifica 674 configuraciones. [3] Por ejemplo, "todas las interfaces inalámbricas deben estar deshabilitadas". [5] Reconociendo que no todas las configuraciones recomendadas serán prácticas para todos los sistemas, se pueden hacer excepciones (como "redes inalámbricas empresariales autorizadas") si se documentan en un informe de desviación de la FDCC. [2] [5]
Se sabe que la implementación estricta de todas las configuraciones recomendadas causa problemas de usabilidad. El NIST publica una lista de problemas conocidos y se puede encontrar aquí (https://usgcb.nist.gov/usgcb/microsoft_content.html). Han surgido algunos proveedores de software de terceros que afirman haber probado configuraciones en un entorno SOHO; sin embargo, en este momento, el público en general aún desconoce relativamente las configuraciones de seguridad de FDCC y USGCB desarrolladas y propuestas por el NIST.
{{cite journal}}: Citar diario requiere |journal=( ayuda )