IT之家 2 月 24 日消息,当地时间 2 月 23 日,微软发布博客,宣布推出 Windows Server 2025 最新的 2602(2026 年 2 月)修订版安全基线包。
该基线包现已可通过微软安全合规工具包(Microsoft Security Compliance Toolkit)下载。企业用户可在自身环境中测试这些推荐配置,并根据需要进行自定义和实施。
本次安全基线更新涉及多项关键安全配置的调整与新增建议,旨在帮助用户构建更安全的服务器环境。
针对 Windows 系统中的 sudo 命令,微软指出,在某些配置下启用该功能可能成为权限提升的潜在途径,攻击者或恶意内部人员可能借此绕过传统的 UAC 提示,以提升的权限运行命令。这在包含 Active Directory 或域控制器的环境中尤其令人担忧。因此,微软建议将策略“配置 sudo 命令的行为”(位于“系统”类别)设置为“已启用”,并将“允许的最大 sudo 模式”设为“禁用”,从而阻止 sudo 命令的使用。
为缓解易受 Return of Coppersmith's attack(ROCA)攻击的 Windows Hello for Business(WHfB)密钥带来的风险,微软建议在域控制器上启用设置“配置身份验证期间对 ROCA 漏洞的 WHfB 密钥进行验证”(位于“系统安全账户管理器”),并将其设为“阻止”模式。为确保环境中没有不兼容的设备或孤立的易受攻击密钥在使用时被阻断,管理员可参考微软支持文档,使用 WHfBTools PowerShell 模块清理孤立的 WHfB 密钥。此设置更改无需重启即可生效。
与 Windows 11 版本 24H2 安全基线类似,本次更新建议禁用“通过 COM 自动化启动 Internet Explorer 11”(位于“Windows 组件 Internet Explorer”)。此举旨在防止遗留脚本和应用程序使用 COM 自动化接口(如 CreateObject (“InternetExplorer.Application“))以编程方式启动 IE11。允许此类行为会使系统暴露于遗留的 MSHTML 和 ActiveX 组件风险之下,这些组件易受攻击,从而带来重大安全隐患。
本次更新包含了“对从不安全来源复制的文件不应用 MotW 标签”(位于“Windows 组件文件资源管理器”)设置,并将其配置为“已禁用”。该配置与 Windows 11 安全基线保持一致。当此设置为“已禁用”时,Windows 会对从归类为 Internet 或其他不受信任区域的位置复制的文件应用 MotW 标签。此标签有助于强制实施额外的保护措施,如 SmartScreen 检查和 Office 宏阻止,从而降低执行恶意内容的风险。
作为帮助客户从 NTLM 过渡到更安全的 Kerberos 认证的持续努力的一部分,微软引入了新的建议,以加强监控并为未来在 Windows Server 2025 上限制 NTLM 做准备。具体建议包括:
在成员服务器和域控制器上,将“网络安全:限制 NTLM:审核传入 NTLM 流量”(位于“安全选项”)配置为“为所有帐户启用审核”。启用后,服务器将记录一旦强制执行传入 NTLM 流量限制时将被阻止的所有 NTLM 身份验证请求的事件。
在域控制器上,将“网络安全:限制 NTLM:审核此域中的 NTLM 身份验证”(位于“安全选项”)配置为“全部启用”。此设置将记录当在域级别应用 NTLM 身份验证限制时将被拒绝的来自服务器和帐户的 NTLM 直通身份验证请求。
在成员服务器和域控制器上,将“到远程服务器的传出 NTLM 流量”(位于“安全选项”)配置为“全部审核”,以记录发送到远程服务器的每个 NTLM 身份验证请求的事件,帮助识别仍在接收 NTLM 流量的服务器。
此外,Windows Server 2025 和 Windows 11 版本 24H2 最近引入了两个默认启用的新 NTLM 审核功能。这些增强功能提供详细的审核日志,帮助安全团队监控和调查身份验证活动,识别不安全实践,并为未来的 NTLM 限制做准备。由于这些审核改进默认启用,因此无需额外配置,基线也未强制要求。
本次基线更新移除了“阻止下载附件”策略(位于“Windows 组件 RSS 源”)。该设置因依赖于 RSS 源的 Internet Explorer 功能,不适用于 Windows Server 2025。
Windows Server 2025 引入了两项旨在显著改善打印机安全状况的新策略:
“对 IPP 打印机要求 IPPS”(位于“打印机”类别)
“为 IPP 打印机设置 TLS / SSL 安全策略”(位于“打印机”类别)
鉴于启用这些策略可能会在仍依赖 IPP 或使用自签名 / 本地颁发证书的环境中引发操作问题,Windows Server 2025 安全基线未强制实施这些策略。但微软强烈建议客户逐步淘汰 IPP 或自签名证书,并加以限制,以构建更安全的环境。
此外,打印机安全方面还有一些其他变更,IT之家整理如下:
在成员服务器和域控制器的“身份验证后模拟客户端”(位于“用户权限分配”)策略中添加了“RESTRICTEDSERVICES\PrintSpoolerService”,与 Windows 11 版本 24H2 安全基线保持一致。
强制将“配置 RPC 连接设置”(位于“打印机”类别)的默认设置为“始终使用启用身份验证的基于 TCP 的 RPC”,适用于成员服务器和域控制器,以防止因错误配置而引入安全风险。
将成员服务器上“配置 RPC 侦听器设置”(位于“打印机”类别)策略的安全基线从“协商”(默认)提升至“Kerberos”,以鼓励客户远离 NTLM 并采用更安全的 Kerberos。
为帮助组织部署、管理和监控安全启动证书更新,Windows 在“管理模板 Windows 组件安全启动”下提供了多项策略设置。这些设置作为部署控制和辅助工具。
“启用安全启动证书部署”:允许组织在设备上显式启动证书部署。启用后,Windows 将在下次运行安全启动任务时开始证书更新过程。此设置不会覆盖固件兼容性检查,也不会强制将更新应用到不受支持的设备。
“通过更新自动部署证书”:控制是否通过每月的 Windows 安全更新和非安全更新自动应用安全启动证书更新。默认情况下,微软识别为能够安全应用更新的设备将在累积服务过程中自动接收并应用更新。若禁用此设置,自动部署将被阻止,证书更新必须通过其他受支持的部署方法启动。
“通过受控功能逐步推出部署证书”:允许组织将设备注册到微软管理的“受控功能逐步推出”计划中,以进行安全启动证书更新。启用后,微软将协助协调注册设备的部署,以降低逐步推出期间的风险。参与受控功能逐步推出的设备必须启用诊断数据。未注册的设备不会参与。
安全启动证书更新依赖于设备固件支持。部分设备存在已知的固件限制,可能阻止安全应用更新。组织应在代表性硬件上进行测试,监控安全启动事件日志,并查阅部署指南以获取详细建议和故障排除信息。
SMB 服务器容易受到中继攻击(例如 CVE-2025-55234)。微软已发布多项功能来防范此类攻击,包括:
SMB 服务器签名:可通过设置“Microsoft 网络服务器:对通信进行数字签名(始终)”(位于“安全选项”)启用。
SMB 服务器扩展保护以进行身份验证(EPA):可通过设置“Microsoft 网络服务器:服务器 SPN 目标名称验证级别”(位于“安全选项”)启用。
为进一步支持客户采用这些 SMB 服务器强化功能,微软已在 2025 年 9 月的安全更新中,为所有受支持的在市平台提供了审核事件的支持,用于审核 SMB 客户端对 SMB 服务器签名以及 SMB 服务器 EPA 的兼容性。这些审核功能可通过位于“网络 Lanman 服务器”的两项策略进行控制:
“审核客户端不支持签名”
“审核 SMB 客户端 SPN 支持”
这使得管理员能够在部署 SMB 服务器已支持的强化措施之前,识别任何潜在的设备或软件不兼容问题。
微软表示:对于域控制器,SMB 签名默认已启用,因此无需为强化目的采取额外操作;对于成员服务器,首先启用两个新的审核功能来评估环境,然后决定是使用 SMB 服务器签名还是 EPA 来缓解攻击向量。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。