Microsoft выпустила июньскую редакцию базового набора параметров безопасности для Windows Server 2025 (v2506). Обновление уже доступно для загрузки через Microsoft Security Compliance Toolkit. После загрузки вы можете протестировать рекомендуемые конфигурации в своей среде, при необходимости адаптировать их под свои нужды или внедрить без изменений.
Чтобы адаптироваться к меняющимся угрозам, новым функциям Windows и отзывам сообщества, Microsoft планирует обновлять базовый набор параметров безопасности для Windows Server чаще. Эти параметры — это набор рекомендованных Microsoft настроек, которые помогают администраторам обеспечить безопасную и стабильную работу серверной среды.
Это первое обновление параметров безопасности для Windows Server 2025 с января.
Основные изменения:
| Политика безопасности | Краткое описание изменений |
|---|---|
| Запрет входа через удаленный рабочий стол | Разрешен удаленный вход для локальных пользователей без прав администратора на Member Server (MS) и добавлена группа BUILTIN\Guests в списки разрешений на контроллере домена (DC) и на MS. |
| Аутентификация WDigest | Исключено из базового набора |
| Разрешить Windows Ink Workspace | Исключено из базового набора |
| Аудит изменения политики авторизации | Установлено в значение «Успешно» на DC и MS |
| Включение командной строки в события создания процесса | Включено на DC и MS |
| Отображение исключений для локальных пользователей | Установлено в значение «Не задано», так как переопределяется родительской настройкой |
Из этих изменений существенными являются удаление аутентификации WDigest и добавление включения командной строки в события создания процесса.
Microsoft заявила, что исключила проверку подлинности WDigest из базовой линии безопасности, поскольку в Windows Server 2025 она более не требуется. Изначально эта политика была внедрена для того, чтобы предотвратить хранение паролей в открытом виде в памяти — это представляло серьезный риск их кражи. Однако, начиная с обновления 24H2 для Windows Server 2022, данная настройка считается устаревшей, и необходимость в ее принудительном применении отпала.
Обновление также включает параметр «Включить командную строку в события создания процесса», чтобы повысить прозрачность выполнения процессов в системе. За счет фиксации аргументов командной строки становится проще выявлять и анализировать потенциально вредоносную активность, которая в противном случае могла бы выглядеть как обычное, легитимное поведение.
Если вы хотите подробнее ознакомиться с другими изменениями, обратитесь к официальному анонсу Microsoft.
Последние статьи #Windows
• Windows 11, версия 25H2 теперь можно установить на любой поддерживаемый ПК
• Релиз Microsoft Edge 143: Усиленная защита локальной сети и блокировка вредоносных sideload-расширений
• FluentFlyout: кастомизация интерфейса Windows 11 с панелями в стиле Fluent 2
• Microsoft обновит окно «Выполнить» в Windows 11 — появился современный интерфейс Modern Run
• Microsoft продолжает перенос настроек из Панели управления в «Параметры» в новых сборках Windows 11
• Microsoft: в Windows 11, версия 25H2 нарушена работа ключевых элементов интерфейса