Microsoft выпустила июньскую редакцию базового набора параметров безопасности для Windows Server 2025 (v2506). Обновление уже доступно для загрузки через Microsoft Security Compliance Toolkit. После загрузки вы можете протестировать рекомендуемые конфигурации в своей среде, при необходимости адаптировать их под свои нужды или внедрить без изменений.
Чтобы адаптироваться к меняющимся угрозам, новым функциям Windows и отзывам сообщества, Microsoft планирует обновлять базовый набор параметров безопасности для Windows Server чаще. Эти параметры — это набор рекомендованных Microsoft настроек, которые помогают администраторам обеспечить безопасную и стабильную работу серверной среды.
Это первое обновление параметров безопасности для Windows Server 2025 с января.
Основные изменения:
| Политика безопасности | Краткое описание изменений |
|---|---|
| Запрет входа через удаленный рабочий стол | Разрешен удаленный вход для локальных пользователей без прав администратора на Member Server (MS) и добавлена группа BUILTIN\Guests в списки разрешений на контроллере домена (DC) и на MS. |
| Аутентификация WDigest | Исключено из базового набора |
| Разрешить Windows Ink Workspace | Исключено из базового набора |
| Аудит изменения политики авторизации | Установлено в значение «Успешно» на DC и MS |
| Включение командной строки в события создания процесса | Включено на DC и MS |
| Отображение исключений для локальных пользователей | Установлено в значение «Не задано», так как переопределяется родительской настройкой |
Из этих изменений существенными являются удаление аутентификации WDigest и добавление включения командной строки в события создания процесса.
Microsoft заявила, что исключила проверку подлинности WDigest из базовой линии безопасности, поскольку в Windows Server 2025 она более не требуется. Изначально эта политика была внедрена для того, чтобы предотвратить хранение паролей в открытом виде в памяти — это представляло серьезный риск их кражи. Однако, начиная с обновления 24H2 для Windows Server 2022, данная настройка считается устаревшей, и необходимость в ее принудительном применении отпала.
Обновление также включает параметр «Включить командную строку в события создания процесса», чтобы повысить прозрачность выполнения процессов в системе. За счет фиксации аргументов командной строки становится проще выявлять и анализировать потенциально вредоносную активность, которая в противном случае могла бы выглядеть как обычное, легитимное поведение.
Если вы хотите подробнее ознакомиться с другими изменениями, обратитесь к официальному анонсу Microsoft.
Последние статьи #Windows
• Microsoft подтвердила проблему с BitLocker в обновлениях для Windows за апрель 2026 года
• Microsoft усилила защиту Windows от вредоносных RDP-файлов и атак через удалённый рабочий стол
• Обновление KB5082052 (Build 22631.6936) для Windows 11, версия 23H2
• «Вторник Патчей», апрель 2026: Microsoft исправила 167 проблем безопасности, включая две уязвимости «нулевого дня»
• Обновление KB5083768 (Build 28000.1836) для Windows 11, версия 26H1
• Обновление KB5082200 (Build 19045.7184) для Windows 10, версия 22H2 (ESU)