Microsoft, Windows 10 ve Windows Server için v1903 Güvenlik güncelleştirmesinde Security Baseline hizmeti yayınlandı.Microsoft ürünleri için güvenlik ayarlarını yapılandırma, analiz ve test etme imkanı sağlamaktadır.
Resim-1
Group Policy v1809 ve Sunucu 2019’a göre değişikliklerin listesi;
1] Windows Services hosted in svchost.exe
svchost.exe tarafından yüklenen dosyalar Windows Hizmetlerinin Microsoft tarafından imzalanması gerekir. Svchost.exe kısıtlama seçeneği ilkesini etkinleştirdiğinizde Svchost.exe barındırma işlemini kullanmaya çalışan üçüncü taraf geliştiriciler ile uyumluluk sorunlarına izin vermemektedir.
2] Let Windows apps activate with voice while the system is locked
Kullanıcıların kilit ekranında Voice asistanlarıyla etkileşime girmelerini engellemek için kullanılabilmektedir.
3] Policies to mitigate server spoofing threats
- LLMNR zafiyeti ;LLMNR protokolünün UDP/5355 portu veya NBT-NS UDP/137 portu üzerinden yapılan broadcast yayının ve cevabını dinleyebilmekte aynı zamanda saldırgan talep edilen hostun adresini öğrenmiş olacaktır.LLMNR zehirlenmesi zafiyetinde saldırgan kullanıcı adı ve şifrelerin yerel ağda basit bir şekilde kendisine vermesini bekler bu durumu ortadan kaldırmak için V1903 güvenlik güncellemesi ile LLMNR güvenlik seviyesi arttırılmış oldu.
- NetBT NodeType’ı P-node ile sınırlandırma; sunucu sahteciliği tehditlerini azaltmak için alan adlarının kaydedilmesi veya çözümlenmesi için yayın kullanımına izin verilmemesi.
- Özel “MS Security Guide” ADMX. Yapılandırma ayarlarının group policy üzerinden yönetilmesini sağlamaktadır.
- Kerberos kimlik doğrulama sorunları için denetim ayarlarına baseline ekleyerek Domain Controller da soruları giderebilmekteyiz.
4] List of dropped policies
- Parola kullanma politikaları.
- Belirli BitLocker sürücü şifreleme yöntemi ve şifre gücü ayarları.
- Dosya Gezgini “Turn off Data Execution Prevention for Explorer” ve “Turn off-heap termination on corruption” ayarları.
- E-posta formatlarına uygulanan Windows Defender ayarı.
- Built-in Yönetici ve Guest hesaplarını devre dışı bırakma uygulanması.
Microsoft Parola Süre Aşımını zorunlu hale neden getirdi?
Parola expire süresi , parolanın çalınmasına karşı yapılan önemli güvenlik ayarlarından biridir. Şifrelerimizin kullanım süre aşımı zorunlu hale getirilerek güvenlik seviyesi arttırılmış oldu.
Microsoft, built-in Yönetici ve Guest hesaplarının zorunlu devre dışı bırakılmasını neden engelledi?
Baseline yönetmek için politika ayarlarında, yönetici olmayan kullanıcıların varsayılanları geçersiz kılabilirlerse veya yanlış biçimlendirilmiş yöneticilerin ayar konusunda yanlış seçimler yapma ihtimalinin yüksek olduğu durumlarda zorunlu devre dışı bırakma işlemi yapabilmektedir.
Guest hesabı, Windows 10 ve Windows Server’da varsayılan olarak devre dışıdır. Built-in Yönetici hesabı, Windows 10’da varsayılan olarak devre dışı bırakılmıştır, ancak Windows Server’da durum böyle değildir. Windows 10 yüklerken, Windows Setup bizden bilgisayarın yönetici hesabı olan yeni bir hesap oluşturmamızı istemektedir.
İndirme linki : Toolkit from Microsoft Downloads.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Windows 10 ve Windows Server v1903 Security Baseline,Windwos 10 May 2019 Update
