Многие организации имеют сложные среды с разнообразным набором аппаратных и программных конфигураций. Те, кто использует стек технологий Microsoft, обычно также получают рекомендации от редмондской компании о лучших практиках, которым следует следовать при настройке своей инфраструктуры. Одним из таких методов стандартизации развертываний является пакет базовых показателей безопасности (security baseline package), предлагаемый Microsoft для Windows Server 2025. Недавно компания обновила этот пакет новыми конфигурациями.
Для тех, кто не в курсе, пакет базовых показателей безопасности — это, по сути, набор предварительно настроенных объектов групповой политики (GPO), изменений реестра и политик безопасности, рекомендованных Microsoft. Редмондский гигант внес несколько изменений в различные конфигурации для Windows Server 2025 версии 2602.
Начнем с команды sudo: этот режим был отключен на рядовых серверах (Member Servers, MS) и контроллерах домена (Domain Controllers, DC), поскольку злоумышленники могут использовать его для повышения привилегий, обходя запросы контроля учетных записей пользователей (UAC). В том же духе настройка «Configure Validation of ROCA-vulnerable WHfB keys during authentication» (Настройка проверки ключей WHfB, уязвимых к ROCA, во время аутентификации) была установлена в режим «Block» (Блокировать) на контроллерах домена для устранения уязвимостей ключей Windows Hello for Business (WHfB), подверженных атаке возврата Купперсмита (Return of Coppersmith’s attack, ROCA).
Кроме того, запуск Internet Explorer 11 через автоматизацию COM был отключен, аналогично Windows 11 версии 25H2, поскольку это представляет угрозу кибербезопасности из-за устаревших компонентов. Еще одна конфигурация, заимствованная у Windows 11, — это применение тега «Mark of the Web» (MotW) к файлам, загруженным из Интернета и других недоверенных источников. Это обеспечивает дополнительные уровни защиты для такого контента, например, фильтрацию SmartScreen и блокировку макросов в приложениях Office.
Некоторые конфигурации NTLM, о которых мы также упоминали ранее, выглядят следующим образом:
- Аудит входящего трафика NTLM (Audit Incoming NTLM Traffic): Настроено как «Включить аудит для всех учетных записей» как на MS, так и на DC
- Аудит аутентификации NTLM в этом домене (Audit NTLM authentication in this domain): Настроено как «Включить все» на DC
- Исходящий трафик NTLM на удаленные серверы (Outgoing NTLM traffic to remote servers): Настроено как «Аудит всего» как на MS, так и на DC
- Улучшения аудита NTLM (NTLM Auditing Enhancements): Уже включены по умолчанию для повышения прозрачности использования NTLM в вашей среде
Тем временем политика, связанная с предотвращением загрузки вложений, была удалена из последнего пакета базовых показателей безопасности, поскольку она неприменима к Windows Server 2025.
Наконец, ниже описаны некоторые обновленные политики принтеров:
- Настройка параметров подключения RPC (Configure RPC connection settings): Принудительное использование значения по умолчанию — RPC поверх TCP с включенной аутентификацией — как на MS, так и на DC
- Настройка параметров прослушивателя RPC (Configure RPC listener settings): Настроено как RPC поверх TCP | Kerberos на MS
- Выдача себя за клиента после аутентификации (Impersonate a client after authentication): Добавление RESTRICTED SERVICES\PrintSpoolerService для безопасной выдачи себя за клиентов службой с ограниченной учетной записью Print Spooler
Microsoft также предоставила рекомендации по истечению срока действия сертификатов Secure Boot и усилению защиты SMB Server; дополнительные сведения можно найти здесь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
