IT之家 2 月 24 日消息，當(dāng)?shù)貢r間 2 月 23 日，微軟發(fā)布博客，宣布推出 Windows Server 2025 最新的 2602（2026 年 2 月）修訂版安全基線包。

該基線包現(xiàn)已可通過微軟安全合規(guī)工具包（Microsoft Security Compliance Toolkit）下載。企業(yè)用戶可在自身環(huán)境中測試這些推薦配置，并根據(jù)需要進行自定義和實施。

本次安全基線更新涉及多項關(guān)鍵安全配置的調(diào)整與新增建議，旨在幫助用戶構(gòu)建更安全的服務(wù)器環(huán)境。

配置 sudo 命令行為

針對 Windows 系統(tǒng)中的 sudo 命令，微軟指出，在某些配置下啟用該功能可能成為權(quán)限提升的潛在途徑，攻擊者或惡意內(nèi)部人員可能借此繞過傳統(tǒng)的 UAC 提示，以提升的權(quán)限運行命令。這在包含 Active Directory 或域控制器的環(huán)境中尤其令人擔(dān)憂。因此，微軟建議將策略“配置 sudo 命令的行為”（位于“系統(tǒng)”類別）設(shè)置為“已啟用”，并將“允許的最大 sudo 模式”設(shè)為“禁用”，從而阻止 sudo 命令的使用。

配置身份驗證期間對 ROCA 漏洞的 WHfB 密鑰驗證

為緩解易受 Return of Coppersmith's attack（ROCA）攻擊的 Windows Hello for Business（WHfB）密鑰帶來的風(fēng)險，微軟建議在域控制器上啟用設(shè)置“配置身份驗證期間對 ROCA 漏洞的 WHfB 密鑰進行驗證”（位于“系統(tǒng)安全賬戶管理器”），并將其設(shè)為“阻止”模式。為確保環(huán)境中沒有不兼容的設(shè)備或孤立的易受攻擊密鑰在使用時被阻斷，管理員可參考微軟支持文檔，使用 WHfBTools PowerShell 模塊清理孤立的 WHfB 密鑰。此設(shè)置更改無需重啟即可生效。

禁用通過 COM 自動化啟動 Internet Explorer 11

與 Windows 11 版本 24H2 安全基線類似，本次更新建議禁用“通過 COM 自動化啟動 Internet Explorer 11”（位于“Windows 組件 Internet Explorer”）。此舉旨在防止遺留腳本和應(yīng)用程序使用 COM 自動化接口（如 CreateObject (“InternetExplorer.Application“)）以編程方式啟動 IE11。允許此類行為會使系統(tǒng)暴露于遺留的 MSHTML 和 ActiveX 組件風(fēng)險之下，這些組件易受攻擊，從而帶來重大安全隱患。

對從不安全來源復(fù)制的文件不應(yīng)用 MotW 標(biāo)簽

本次更新包含了“對從不安全來源復(fù)制的文件不應(yīng)用 MotW 標(biāo)簽”（位于“Windows 組件文件資源管理器”）設(shè)置，并將其配置為“已禁用”。該配置與 Windows 11 安全基線保持一致。當(dāng)此設(shè)置為“已禁用”時，Windows 會對從歸類為 Internet 或其他不受信任區(qū)域的位置復(fù)制的文件應(yīng)用 MotW 標(biāo)簽。此標(biāo)簽有助于強制實施額外的保護措施，如 SmartScreen 檢查和 Office 宏阻止，從而降低執(zhí)行惡意內(nèi)容的風(fēng)險。

NTLM 審計

作為幫助客戶從 NTLM 過渡到更安全的 Kerberos 認證的持續(xù)努力的一部分，微軟引入了新的建議，以加強監(jiān)控并為未來在 Windows Server 2025 上限制 NTLM 做準(zhǔn)備。具體建議包括：

• 在成員服務(wù)器和域控制器上，將“網(wǎng)絡(luò)安全：限制 NTLM：審核傳入 NTLM 流量”（位于“安全選項”）配置為“為所有帳戶啟用審核”。啟用后，服務(wù)器將記錄一旦強制執(zhí)行傳入 NTLM 流量限制時將被阻止的所有 NTLM 身份驗證請求的事件。

• 在域控制器上，將“網(wǎng)絡(luò)安全：限制 NTLM：審核此域中的 NTLM 身份驗證”（位于“安全選項”）配置為“全部啟用”。此設(shè)置將記錄當(dāng)在域級別應(yīng)用 NTLM 身份驗證限制時將被拒絕的來自服務(wù)器和帳戶的 NTLM 直通身份驗證請求。

• 在成員服務(wù)器和域控制器上，將“到遠程服務(wù)器的傳出 NTLM 流量”（位于“安全選項”）配置為“全部審核”，以記錄發(fā)送到遠程服務(wù)器的每個 NTLM 身份驗證請求的事件，幫助識別仍在接收 NTLM 流量的服務(wù)器。

此外，Windows Server 2025 和 Windows 11 版本 24H2 最近引入了兩個默認啟用的新 NTLM 審核功能。這些增強功能提供詳細的審核日志，幫助安全團隊監(jiān)控和調(diào)查身份驗證活動，識別不安全實踐，并為未來的 NTLM 限制做準(zhǔn)備。由于這些審核改進默認啟用，因此無需額外配置，基線也未強制要求。

刪除“阻止下載附件”策略

本次基線更新移除了“阻止下載附件”策略（位于“Windows 組件 RSS 源”）。該設(shè)置因依賴于 RSS 源的 Internet Explorer 功能，不適用于 Windows Server 2025。

打印機安全增強

Windows Server 2025 引入了兩項旨在顯著改善打印機安全狀況的新策略：

• “對 IPP 打印機要求 IPPS”（位于“打印機”類別）

• “為 IPP 打印機設(shè)置 TLS / SSL 安全策略”（位于“打印機”類別）

  鑒于啟用這些策略可能會在仍依賴 IPP 或使用自簽名 / 本地頒發(fā)證書的環(huán)境中引發(fā)操作問題，Windows Server 2025 安全基線未強制實施這些策略。但微軟強烈建議客戶逐步淘汰 IPP 或自簽名證書，并加以限制，以構(gòu)建更安全的環(huán)境。

此外，打印機安全方面還有一些其他變更，IT之家整理如下：

• 在成員服務(wù)器和域控制器的“身份驗證后模擬客戶端”（位于“用戶權(quán)限分配”）策略中添加了“RESTRICTED SERVICES\PrintSpoolerService”，與 Windows 11 版本 24H2 安全基線保持一致。

• 強制將“配置 RPC 連接設(shè)置”（位于“打印機”類別）的默認設(shè)置為“始終使用啟用身份驗證的基于 TCP 的 RPC”，適用于成員服務(wù)器和域控制器，以防止因錯誤配置而引入安全風(fēng)險。

• 將成員服務(wù)器上“配置 RPC 偵聽器設(shè)置”（位于“打印機”類別）策略的安全基線從“協(xié)商”（默認）提升至“Kerberos”，以鼓勵客戶遠離 NTLM 并采用更安全的 Kerberos。

安全啟動證書更新

為幫助組織部署、管理和監(jiān)控安全啟動證書更新，Windows 在“管理模板 Windows 組件安全啟動”下提供了多項策略設(shè)置。這些設(shè)置作為部署控制和輔助工具。

• “啟用安全啟動證書部署”：允許組織在設(shè)備上顯式啟動證書部署。啟用后，Windows 將在下次運行安全啟動任務(wù)時開始證書更新過程。此設(shè)置不會覆蓋固件兼容性檢查，也不會強制將更新應(yīng)用到不受支持的設(shè)備。

• “通過更新自動部署證書”：控制是否通過每月的 Windows 安全更新和非安全更新自動應(yīng)用安全啟動證書更新。默認情況下，微軟識別為能夠安全應(yīng)用更新的設(shè)備將在累積服務(wù)過程中自動接收并應(yīng)用更新。若禁用此設(shè)置，自動部署將被阻止，證書更新必須通過其他受支持的部署方法啟動。

• “通過受控功能逐步推出部署證書”：允許組織將設(shè)備注冊到微軟管理的“受控功能逐步推出”計劃中，以進行安全啟動證書更新。啟用后，微軟將協(xié)助協(xié)調(diào)注冊設(shè)備的部署，以降低逐步推出期間的風(fēng)險。參與受控功能逐步推出的設(shè)備必須啟用診斷數(shù)據(jù)。未注冊的設(shè)備不會參與。

安全啟動證書更新依賴于設(shè)備固件支持。部分設(shè)備存在已知的固件限制，可能阻止安全應(yīng)用更新。組織應(yīng)在代表性硬件上進行測試，監(jiān)控安全啟動事件日志，并查閱部署指南以獲取詳細建議和故障排除信息。

SMB 服務(wù)器強化功能

SMB 服務(wù)器容易受到中繼攻擊（例如 CVE-2025-55234）。微軟已發(fā)布多項功能來防范此類攻擊，包括：

• SMB 服務(wù)器簽名：可通過設(shè)置“Microsoft 網(wǎng)絡(luò)服務(wù)器：對通信進行數(shù)字簽名（始終）”（位于“安全選項”）啟用。

• SMB 服務(wù)器擴展保護以進行身份驗證（EPA）：可通過設(shè)置“Microsoft 網(wǎng)絡(luò)服務(wù)器：服務(wù)器 SPN 目標(biāo)名稱驗證級別”（位于“安全選項”）啟用。

為進一步支持客戶采用這些 SMB 服務(wù)器強化功能，微軟已在 2025 年 9 月的安全更新中，為所有受支持的在市平臺提供了審核事件的支持，用于審核 SMB 客戶端對 SMB 服務(wù)器簽名以及 SMB 服務(wù)器 EPA 的兼容性。這些審核功能可通過位于“網(wǎng)絡(luò) Lanman 服務(wù)器”的兩項策略進行控制：

• “審核客戶端不支持簽名”

• “審核 SMB 客戶端 SPN 支持”

這使得管理員能夠在部署 SMB 服務(wù)器已支持的強化措施之前，識別任何潛在的設(shè)備或軟件不兼容問題。

微軟表示：對于域控制器，SMB 簽名默認已啟用，因此無需為強化目的采取額外操作；對于成員服務(wù)器，首先啟用兩個新的審核功能來評估環(huán)境，然后決定是使用 SMB 服務(wù)器簽名還是 EPA 來緩解攻擊向量。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。