Windows 10 v1903 ve Windows Server v1903 için Baseline yayınlandı!
Microsoft, Windows 10 v1903 ve Windows Server v1903 için son Güvenlik güncelleştirmesinde Security Baseline yayınladı. Mevcut güvenlik yapılandırmalarıyla karşılaştırırken, Windows ve diğer Microsoft ürünleri için Microsoft tarafından önerilen güvenlik yapılandırma baseline indirmelerini, analiz etmelerini, sınamalarını, düzenlemelerini ve saklamalarını sağlamaktadır.
Resim-1
Group Policy v1809 ve Sunucu 2019’a göre değişikliklerin listesi;
1]
Windows Services hosted in svchost.exe
svchost.exe tarafından yüklenen ikili dosyalar da dahil olmak üzere svchost.exe’de barındırılan Windows Hizmetlerinin Microsoft tarafından imzalanması gerekir. Svchost.exe azaltma seçeneği ilkesini etkinleştirdiğinizde Svchost.exe barındırma işlemini kullanmaya çalışan üçüncü taraf koduyla uyumluluk sorunlarına neden olabilmektedir.
2] Let Windows apps activate with voice while the system is locked
Politika, kullanıcıların kilit ekranında Voice asistanlarıyla etkileşime girmelerini engellemek için kullanılabilir.
3] Policies to mitigate server spoofing threats
- Birçok noktaya name çözümlemesini (LLMNR) devre dışı bırakır.
- NetBT NodeType’ı P-node ile sınırlandırma; sunucu sahteciliği tehditlerini azaltmak için adların kaydedilmesi veya çözümlenmesi için yayın kullanımına izin verilmemesi.
- Özel “MS Security Guide” ADMX. Yapılandırma ayarlarının group policy üzerinden yönetilmesini sağlamaktır.
- Kerberos kimlik doğrulama hizmeti için önerilen denetim ayarlarını ekleyerek Domain Controller baseline gözetimi ile düzeltmektir.
4] List of dropped policies
- Parola son kullanma politikaları.
- Belirli BitLocker sürücü şifreleme yöntemi ve şifre gücü ayarları.
- Dosya Gezgini “Turn off Data Execution Prevention for Explorer” ve “urn off-heap termination on corruption” ayarları.
- Yalnızca eski e-posta dosyası formatlarına uygulanan Windows Defender ayarı.
- Built-in Yönetici ve Guest hesaplarını devre dışı bırakma varsayılan davranışının uygulanması.
Microsoft Parola Süre Aşımını zorunlu hale neden getirdi?
Parola sona erme zorunluluğu, yalnızca büyük olasılıkla bir parolanın çalınmasına karşı yapılan bir savunmaydı ancak diyor ki Microsoft, “Şifrenin çalındığını biliyorsanız, hiç kimsenin sorununu çözmek için son kullanma tarihini beklemeyecektir. Kullanıcı hesap sahibi, parolasını sıfırlayıp periyodik parola son kullanım tarihi çok düşük bir değere sahip eski bir parola yönteminin belirli bir değeri uygulamaya koymasının önemli olduğunu düşünmekte” dir.
Microsoft, built-in Yönetici ve Guest hesaplarının zorunlu devre dışı bırakılmasını neden engelledi?
Baseline yönetilebilir kılmak için, politika ayarlarında, yönetici olmayan kullanıcıların bu varsayılanları geçersiz kılabilirlerse veya yanlış biçimlendirilmiş yöneticilerin ayar konusunda yanlış seçimler yapma ihtimalinin yüksek olduğu durumlarda zorunlu devre dışı bırakma eğilimini gösterebilmektedir.
Guest hesabı, Windows 10 ve Windows Server’da varsayılan olarak devre dışıdır. Built-in Yönetici hesabı, Windows 10’da varsayılan olarak devre dışı bırakılmıştır, ancak Windows Server’da durum böyle değildir. Windows 10 yüklerken, Windows Setup sizden bilgisayarın birincil yönetici hesabı olan yeni bir hesap istemektedir.
İndirme linki : Toolkit from Microsoft Downloads.