Microsoft выпустила июньскую редакцию базового набора параметров безопасности для Windows Server 2025 (v2506). Обновление уже доступно для загрузки через Microsoft Security Compliance Toolkit. После загрузки вы можете протестировать рекомендуемые конфигурации в своей среде, при необходимости адаптировать их под свои нужды или внедрить без изменений.
Чтобы адаптироваться к меняющимся угрозам, новым функциям Windows и отзывам сообщества, Microsoft планирует обновлять базовый набор параметров безопасности для Windows Server чаще. Эти параметры — это набор рекомендованных Microsoft настроек, которые помогают администраторам обеспечить безопасную и стабильную работу серверной среды.
Это первое обновление параметров безопасности для Windows Server 2025 с января.
Основные изменения:
| Политика безопасности | Краткое описание изменений |
|---|---|
| Запрет входа через удаленный рабочий стол | Разрешен удаленный вход для локальных пользователей без прав администратора на Member Server (MS) и добавлена группа BUILTIN\Guests в списки разрешений на контроллере домена (DC) и на MS. |
| Аутентификация WDigest | Исключено из базового набора |
| Разрешить Windows Ink Workspace | Исключено из базового набора |
| Аудит изменения политики авторизации | Установлено в значение «Успешно» на DC и MS |
| Включение командной строки в события создания процесса | Включено на DC и MS |
| Отображение исключений для локальных пользователей | Установлено в значение «Не задано», так как переопределяется родительской настройкой |
Из этих изменений существенными являются удаление аутентификации WDigest и добавление включения командной строки в события создания процесса.
Microsoft заявила, что исключила проверку подлинности WDigest из базовой линии безопасности, поскольку в Windows Server 2025 она более не требуется. Изначально эта политика была внедрена для того, чтобы предотвратить хранение паролей в открытом виде в памяти — это представляло серьезный риск их кражи. Однако, начиная с обновления 24H2 для Windows Server 2022, данная настройка считается устаревшей, и необходимость в ее принудительном применении отпала.
Обновление также включает параметр «Включить командную строку в события создания процесса», чтобы повысить прозрачность выполнения процессов в системе. За счет фиксации аргументов командной строки становится проще выявлять и анализировать потенциально вредоносную активность, которая в противном случае могла бы выглядеть как обычное, легитимное поведение.
Если вы хотите подробнее ознакомиться с другими изменениями, обратитесь к официальному анонсу Microsoft.
Последние статьи #Windows
• NVIDIA связывает проблемы в играх с обновлением Windows 11
• Windows 11 Build 28020.1546 (Canary): Обновление KB5074176 для Windows 11, версия 26H1
• Microsoft интегрирует Sysmon напрямую в Windows 11 и Windows Server 2025
• Microsoft планирует добавить верхнюю панель меню в Windows 11 через PowerToys
• Обновление KB5074177 (Build 26220.7752) для Windows 11, версия 25H2 (Beta)
• Обновление KB5074178 (Build 26300.7733) для Windows 11, версия 25H2 (Dev)