Microsoft выпустила июньскую редакцию базового набора параметров безопасности для Windows Server 2025 (v2506). Обновление уже доступно для загрузки через Microsoft Security Compliance Toolkit. После загрузки вы можете протестировать рекомендуемые конфигурации в своей среде, при необходимости адаптировать их под свои нужды или внедрить без изменений.
Чтобы адаптироваться к меняющимся угрозам, новым функциям Windows и отзывам сообщества, Microsoft планирует обновлять базовый набор параметров безопасности для Windows Server чаще. Эти параметры — это набор рекомендованных Microsoft настроек, которые помогают администраторам обеспечить безопасную и стабильную работу серверной среды.
Это первое обновление параметров безопасности для Windows Server 2025 с января.
Основные изменения:
| Политика безопасности | Краткое описание изменений |
|---|---|
| Запрет входа через удаленный рабочий стол | Разрешен удаленный вход для локальных пользователей без прав администратора на Member Server (MS) и добавлена группа BUILTIN\Guests в списки разрешений на контроллере домена (DC) и на MS. |
| Аутентификация WDigest | Исключено из базового набора |
| Разрешить Windows Ink Workspace | Исключено из базового набора |
| Аудит изменения политики авторизации | Установлено в значение «Успешно» на DC и MS |
| Включение командной строки в события создания процесса | Включено на DC и MS |
| Отображение исключений для локальных пользователей | Установлено в значение «Не задано», так как переопределяется родительской настройкой |
Из этих изменений существенными являются удаление аутентификации WDigest и добавление включения командной строки в события создания процесса.
Microsoft заявила, что исключила проверку подлинности WDigest из базовой линии безопасности, поскольку в Windows Server 2025 она более не требуется. Изначально эта политика была внедрена для того, чтобы предотвратить хранение паролей в открытом виде в памяти — это представляло серьезный риск их кражи. Однако, начиная с обновления 24H2 для Windows Server 2022, данная настройка считается устаревшей, и необходимость в ее принудительном применении отпала.
Обновление также включает параметр «Включить командную строку в события создания процесса», чтобы повысить прозрачность выполнения процессов в системе. За счет фиксации аргументов командной строки становится проще выявлять и анализировать потенциально вредоносную активность, которая в противном случае могла бы выглядеть как обычное, легитимное поведение.
Если вы хотите подробнее ознакомиться с другими изменениями, обратитесь к официальному анонсу Microsoft.
Последние статьи #Windows
• Обновление KB5060829 (Build 26100.4484) Preview для Windows 11, версия 24H2
• Обновление KB5060826 (Build 22631.5549) Preview для Windows 11, версия 23H2
• Microsoft добавила «Быстрое восстановление системы» в «Параметры» Windows 11. Как протестировать новый режим защиты от критических сбоев
• Windows 11 получает «Черный экран смерти» (BSOD) и новые инструменты для восстановления после сбоев
• Microsoft меняет архитектуру Windows: антивирусы больше не будут работать в ядре системы
• Базовая линия безопасности Windows Server 2025 будет обновляться чаще и станет проще в настройке