IT之家 2 月 24 日消息,当地时间 2 月 23 日,微软发布博客,宣布推出 Windows Server 2025 最新的 2602(2026 年 2 月)修订版安全基线包。
该基线包现已可通过微软安全合规工具包(Microsoft Security Compliance Toolkit)下载。企业用户可在自身环境中测试这些推荐配置,并根据需要进行自定义和实施。本次安全基线更新涉及多项关键安全配置的调整与新增建议,旨在帮助用户构建更安全的服务器环境。针对 Windows 系统中的 sudo 命令,微软指出,在某些配置下启用该功能可能成为权限提升的潜在途径,攻击者或恶意内部人员可能借此绕过传统的 UAC 提示,以提升的权限运行命令。这在包含 Active Directory 或域控制器的环境中尤其令人担忧。因此,微软建议将策略“配置 sudo 命令的行为”(位于“系统”类别)设置为“已启用”,并将“允许的最大 sudo 模式”设为“禁用”,从而阻止 sudo 命令的使用。为缓解易受 Return of Coppersmith's attack(ROCA)攻击的 Windows Hello for Business(WHfB)密钥带来的风险,微软建议在域控制器上启用设置“配置身份验证期间对 ROCA 漏洞的 WHfB 密钥进行验证”(位于“系统安全账户管理器”),并将其设为“阻止”模式。为确保环境中没有不兼容的设备或孤立的易受攻击密钥在使用时被阻断,管理员可参考微软支持文档,使用 WHfBTools PowerShell 模块清理孤立的 WHfB 密钥。此设置更改无需重启即可生效。与 Windows 11 版本 24H2 安全基线类似,本次更新建议禁用“通过 COM 自动化启动 Internet Explorer 11”(位于“Windows 组件 Internet Explorer”)。此举旨在防止遗留脚本和应用程序使用 COM 自动化接口(如 CreateObject (“InternetExplorer.Application“))以编程方式启动 IE11。允许此类行为会使系统暴露于遗留的 MSHTML 和 ActiveX 组件风险之下,这些组件易受攻击,从而带来重大安全隐患。本次更新包含了“对从不安全来源复制的文件不应用 MotW 标签”(位于“Windows 组件文件资源管理器”)设置,并将其配置为“已禁用”。该配置与 Windows 11 安全基线保持一致。当此设置为“已禁用”时,Windows 会对从归类为 Internet 或其他不受信任区域的位置复制的文件应用 MotW 标签。此标签有助于强制实施额外的保护措施,如 SmartScreen 检查和 Office 宏阻止,从而降低执行恶意内容的风险。作为帮助客户从 NTLM 过渡到更安全的 Kerberos 认证的持续努力的一部分,微软引入了新的建议,以加强监控并为未来在 Windows Server 2025 上限制 NTLM 做准备。具体建议包括:此外,Windows Server 2025 和 Windows 11 版本 24H2 最近引入了两个默认启用的新 NTLM 审核功能。这些增强功能提供详细的审核日志,帮助安全团队监控和调查身份验证活动,识别不安全实践,并为未来的 NTLM 限制做准备。由于这些审核改进默认启用,因此无需额外配置,基线也未强制要求。本次基线更新移除了“阻止下载附件”策略(位于“Windows 组件 RSS 源”)。该设置因依赖于 RSS 源的 Internet Explorer 功能,不适用于 Windows Server 2025。Windows Server 2025 引入了两项旨在显著改善打印机安全状况的新策略:此外,打印机安全方面还有一些其他变更,IT之家整理如下:为帮助组织部署、管理和监控安全启动证书更新,Windows 在“管理模板 Windows 组件安全启动”下提供了多项策略设置。这些设置作为部署控制和辅助工具。安全启动证书更新依赖于设备固件支持。部分设备存在已知的固件限制,可能阻止安全应用更新。组织应在代表性硬件上进行测试,监控安全启动事件日志,并查阅部署指南以获取详细建议和故障排除信息。SMB 服务器容易受到中继攻击(例如 CVE-2025-55234)。微软已发布多项功能来防范此类攻击,包括:为进一步支持客户采用这些 SMB 服务器强化功能,微软已在 2025 年 9 月的安全更新中,为所有受支持的在市平台提供了审核事件的支持,用于审核 SMB 客户端对 SMB 服务器签名以及 SMB 服务器 EPA 的兼容性。这些审核功能可通过位于“网络 Lanman 服务器”的两项策略进行控制:这使得管理员能够在部署 SMB 服务器已支持的强化措施之前,识别任何潜在的设备或软件不兼容问题。微软表示:对于域控制器,SMB 签名默认已启用,因此无需为强化目的采取额外操作;对于成员服务器,首先启用两个新的审核功能来评估环境,然后决定是使用 SMB 服务器签名还是 EPA 来缓解攻击向量。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
