Contents

Microsoft、新しいセキュリティ ベースラインで Windows Server 2025 を強化

<本文>/images/Windows-Server-2025-baseline-security.jpg

Microsoft は、Windows Server のセキュリティ体制を再度強化し、コア サービス全体の保護を拡張しながら、更新されたベースライン パッケージを展開しました。

Neowin のレポートによると、Microsoft は Windows Server 2025 のセキュリティ ベースライン パッケージを更新し、複雑な Microsoft インフラストラクチャを実行する企業および政府環境を対象としたより厳格な制御を導入しました。

セキュリティ ベースラインは、組織がサーバー全体の保護を標準化するために展開できる、事前構成されたグループ ポリシー オブジェクト (GPO)、レジストリ設定、および強化されたセキュリティ構成を提供します。

バージョン 2602 では、Microsoft は権限昇格のリスクを軽減し、従来の攻撃ベクトルを遮断することを目的としたいくつかの変更を導入しました。

最も注目すべき更新の 1 つは、メンバー サーバー (MS) とドメイン コントローラー (DC) で sudo コマンド モードを無効にします。この動きにより、ユーザー アカウント制御 (UAC) バイパスのリスクが軽減され、昇格された特権の潜在的な乱用が制限されます。

ROCA 保護はブロック モードに移行します

Microsoft は、特定の RSA キーに影響を与える暗号化の脆弱性である Return of Coppersmith’s Attack (ROCA) に対する保護も強化しました。

ROCA の脆弱性がある Windows Hello for Business キーの検証が、ドメイン コントローラー上でブロック モードで実行されるようになりました。この変更により、認証キーを単に監査するのではなく、侵害された可能性のある認証キーの使用が防止されます。

Internet Explorer の自動化が無効になっています

レガシーコンポーネントは引き続き注目を集めています。現在進行中のセキュリティ上の懸念のため、COM オートメーションによる Internet Explorer 11 の起動は無効になっています。

同時に、Mark of the Web (MotW) タグ付けが、インターネットまたはその他の信頼できないソースからダウンロードされたファイルに適用されるようになりました。 MotW は、Microsoft Office アプリケーションで SmartScreen フィルタリングや自動マクロ ブロックなどの組み込みの保護機能を有効にします。

拡張された NTLM 監査と RPC 強化

Microsoft は、ドメイン全体にわたる NTLM 認証の可視性と制御を強化しました。

受信 NTLM トラフィックの監査により、メンバー サーバーおよびドメイン コントローラー上のすべてのアカウントの監査が有効になりました。ドメイン コントローラーは完全な NTLM 認証監査も強制しますが、リモート サーバーへの送信 NTLM トラフィックはすべてのアクティビティを監査するように設定されます。

Microsoft が組織を最新の代替手段に向けて推進し続ける中、これらの対策により、管理者は従来の認証の使用状況についてより明確な洞察を得ることができます。

リモート プロシージャ コール (RPC) の設定も強化されました。接続は認証が有効になっている RPC over TCP 経由で強制されますが、メンバー サーバー上の RPC リスナーは Kerberos over TCP を使用します。

印刷スプーラーとポリシーの調整

印刷スプーラー ポリシーでは、RESTRICTED SERVICES\PrintSpoolerService を使用した安全なクライアントの偽装が許可されるようになり、重要な印刷サービスを無効にすることなくセキュリティの問題に対処できます。

Microsoft はまた、エンクロージャのダウンロードを禁止するポリシーを削除し、このポリシーは Windows Server 2025 には適用されないことを指摘しました。

さらに、同社はセキュア ブート証明書の有効期限と SMB サーバーの強化に関するガイダンスを共有し、広範なプラットフォーム セキュリティ戦略を強化しました。

これらの変更は、Microsoft による Azure Blob Storage に対する TLS 1.2 の最近の施行に続くもので、時代遅れの暗号化標準を段階的に廃止する広範な取り組みの一環です。

これとは別に、Microsoft は Windows 10 拡張セキュリティ更新プログラムを拡張し、LTSB および特定のサーバー エディションを含めました。同社はまた、更新プログラム KB5077230 を通じて拡張 Windows Hello サインインに対する周辺機器の指紋サポートを導入し、デバイス レベルの認証をさらに強化しました。

マイクロソフトは、組織がますます複雑化する脅威の状況に備えるため、更新された Windows Server 2025 ベースラインでエンタープライズ セキュリティのデフォルトを強化し続けています。

*️⃣ 出典リンク:

Neowin、Azure Blob Storage に対する TLS 1.2 の適用、Windows 10 拡張セキュリティ更新プログラムの拡張、更新プログラム KB5077230 による Windows Hello サインインの強化、