Windows Server 2025 のセキュリティ ベースライン 2602 の新機能
<本文>
Microsoft は、Windows Server 2025 用の新しいセキュリティ ベースライン 2602 をリリースしました。この更新では、NTLM 監査の強化、sudo コマンドの動作の洗練、プリンタ RPC セキュリティの強化、認証強化の改善、その他の重要な機能強化に重点を置いた 12 の新しいグループ ポリシー設定が導入されました。
サーバー 2025 のセキュリティ ベースライン更新プログラム 2506 のリリースからわずか 8 か月が経過しましたが、新しいベースライン バージョン 2602 を見て驚いています。Microsoft はドキュメントの中で、新たな脅威に対処し、新しい Windows 機能を組み込み、コミュニティのフィードバックに対応するために、セキュリティ ベースラインがより頻繁にリリースされると述べています。
ベースライン パッケージの 2026 年 2 月リビジョン (v2602) は、Microsoft Security Compliance Toolkit からダウンロードできます。推奨される Server 2025 構成を環境内でテストし、特定のニーズに合わせて調整し、それに応じて実装できます。その間、Windows Server insider プログラムに参加し、貴重なフィードバックを Microsoft に提供することを検討してください。
Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する
Windows Server 2025 のセキュリティ ベースライン 2602 をダウンロード
Microsoft セキュリティ コンプライアンス ツールキットのページにアクセスしてください。 「ダウンロード」ボタンをクリックします。ダウンロードする前に、詳細 列を展開し、ダウンロードのリストに Windows Sever 2025 セキュリティ ベースライン 2602 が表示されていることを確認してください。
Windows Server 2025 のセキュリティ ベースライン 2602 をダウンロード
ファイルのリストから「Windows Server 2025 Security Baseline – 2602.zip」を選択し、「ダウンロード」ボタンをクリックします。ファイルを保存するフォルダーを選択します。ダウンロードしたら、.zip ファイルを選択したフォルダーに抽出します。抽出されたコンテンツには、ベースライン ファイルとベースラインの詳細を説明するドキュメントの両方が含まれます。
Windows Server 2025 セキュリティ ベースライン バージョン 2602 をダウンロード
Security Baseline パッケージ 2602 には何が含まれていますか?
抽出されたセキュリティ ベースライン v2602 更新パッケージには、次のコンポーネントが含まれています。
-
ドキュメント: Windows Server 2025 v2602、MSFT-WS2025-v2602 ポリシー ルールなどの新しい設定が含まれています。
-
GPO: エクスポートされた GPO。
-
スクリプト: Baseline-ADImport.ps1、Baseline-LocalInstall.ps1、構成ファイル、およびツールが含まれます。
-
テンプレート: MSS-legacy.admx、SecGuide.admx、および対応する adml ファイルが含まれます。
-
GP レポート: エクスポートされたグループ ポリシー レポート。
セキュリティ ベースライン 2602 の新しいポリシー設定
Server 2025 のセキュリティ ベースライン v2602 更新プログラムでは、Windows Server 2025 のセキュリティ ベースラインの 2025 年 1 月リリース以降に行われたいくつかの機能強化が導入されています。この機能強化は、エンタープライズ セキュリティを強化し、最新の標準との整合性を確保するように設計されています。特定の変更の詳細を以下の表に示します。
セキュリティ ポリシー名 |
変更点—|—sudo コマンドの動作を構成する |
有効として設定: MS と DC の両方で無効
認証中に ROCA の脆弱性のある WHfB キーの検証を構成する |
有効として構成: DC でブロックして、Return of Coppersmith’s 攻撃 (ROCA) に対して脆弱な Windows Hello for Business (WHfB) キーをブロックします。
Internet Explorer 11 の COM オートメーション経由の起動を無効にする |
従来のスクリプトやアプリケーションが COM オートメーション インターフェイスを使用してプログラムで Internet Explorer 11 を起動できないようにするために、有効として構成されています。
安全でないソースからコピーされたファイルには Web タグのマークを適用しないでください。
MS と DC の両方で無効として構成されている
ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィックを監査する |
MS と DC の両方のすべてのアカウントの監査を有効にするように構成されています
ネットワーク セキュリティ: NTLM を制限: このドメインの NTLM 認証を監査する |
DC ですべてを有効にするように構成されています
ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの送信 NTLM トラフィック |
MS と DC の両方ですべて監査として構成されている
NTLM 監査の機能強化 |
デフォルトですでに有効になっており、環境内の NTLM の使用状況の可視性が向上します。
エンクロージャのダウンロードを防止する |
Windows Server 2025 には適用されないため、ベースラインから削除します。IE – RSS フィードに依存します。
プリンター: RPC 接続設定を構成する |
MS と DC の両方で、デフォルトの認証を有効にした RPC over TCP を適用します。
プリンター: RPC リスナー設定を構成する |
RPC over TCP として構成 | MS のケルベロス
プリンター: 認証後にクライアントを偽装する |
RESTRICTED SERVICES\PrintSpoolerService を追加して、印刷スプーラーの制限付きサービス ID がクライアントを安全に偽装できるようにします。
*️⃣ 出典リンク:
サーバー 2025 のセキュリティ ベースライン更新プログラム 2506、
Microsoft 、サーバー 2025、Windows Server insider プログラムへの参加、
、
Microsoft Security Compliance Toolkit ページ、