Microsoft выпустила июньскую редакцию базового набора параметров безопасности для Windows Server 2025 (v2506). Обновление уже доступно для загрузки через Microsoft Security Compliance Toolkit. После загрузки вы можете протестировать рекомендуемые конфигурации в своей среде, при необходимости адаптировать их под свои нужды или внедрить без изменений.
Чтобы адаптироваться к меняющимся угрозам, новым функциям Windows и отзывам сообщества, Microsoft планирует обновлять базовый набор параметров безопасности для Windows Server чаще. Эти параметры — это набор рекомендованных Microsoft настроек, которые помогают администраторам обеспечить безопасную и стабильную работу серверной среды.
Это первое обновление параметров безопасности для Windows Server 2025 с января.
Основные изменения:
| Политика безопасности | Краткое описание изменений |
|---|---|
| Запрет входа через удаленный рабочий стол | Разрешен удаленный вход для локальных пользователей без прав администратора на Member Server (MS) и добавлена группа BUILTIN\Guests в списки разрешений на контроллере домена (DC) и на MS. |
| Аутентификация WDigest | Исключено из базового набора |
| Разрешить Windows Ink Workspace | Исключено из базового набора |
| Аудит изменения политики авторизации | Установлено в значение «Успешно» на DC и MS |
| Включение командной строки в события создания процесса | Включено на DC и MS |
| Отображение исключений для локальных пользователей | Установлено в значение «Не задано», так как переопределяется родительской настройкой |
Из этих изменений существенными являются удаление аутентификации WDigest и добавление включения командной строки в события создания процесса.
Microsoft заявила, что исключила проверку подлинности WDigest из базовой линии безопасности, поскольку в Windows Server 2025 она более не требуется. Изначально эта политика была внедрена для того, чтобы предотвратить хранение паролей в открытом виде в памяти — это представляло серьезный риск их кражи. Однако, начиная с обновления 24H2 для Windows Server 2022, данная настройка считается устаревшей, и необходимость в ее принудительном применении отпала.
Обновление также включает параметр «Включить командную строку в события создания процесса», чтобы повысить прозрачность выполнения процессов в системе. За счет фиксации аргументов командной строки становится проще выявлять и анализировать потенциально вредоносную активность, которая в противном случае могла бы выглядеть как обычное, легитимное поведение.
Если вы хотите подробнее ознакомиться с другими изменениями, обратитесь к официальному анонсу Microsoft.
Последние статьи #Windows
• Media Creation Tool теперь скачивает официальные ISO-образы Windows 11, версия 25H2 (Сборка ОС 26200.6899)
• Обновление KB5067106 (Build 26120.6972) для Windows 11, версия 24H2 (Beta)
• Обновление KB5067106 (Build 26220.6972) для Windows 11, версия 25H2 (Dev)
• Обновления Windows 11 нарушили работу HTTP/2-соединений с localhost (127.0.0.1)
• Microsoft Copilot станет частью панели задач Windows 11, заменив классический поиск
• Microsoft начала развертывание новых функций для Windows 11, версия 25H2: ИИ-возможности, улучшения защиты и удобства использования