Microsoft 已发布 Windows 11 22H2 版安全配置基线设置的最终版本,今天可使用 Microsoft 安全合规工具包下载。
微软安全顾问 Rick Munck 表示:“此版本包括许多更改,以进一步帮助保护企业客户的安全。”
“针对硬件和驱动程序安全、凭据盗窃、打印机、DNS 和帐户锁定的额外保护进行了更改。”
防止控制流劫持攻击
虽然新基线增加了针对多个领域的额外防御,但最新的 Windows 11 安全基线的亮点是增加了内核模式硬件强制堆栈保护,为内核代码提供额外的硬件级保护,以抵御恶意软件威胁。
它适用于具有支持硬件影子堆栈的芯片组的系统,例如英特尔的控制流强制技术 (CET) 或 AMD 影子堆栈。
它通过在检测到进程的自然流已被修改时自动触发异常来保护内核免受常见漏洞利用技术的影响,包括面向返回的编程 (ROP) 和面向跳转的编程 (JOP)。
攻击者经常使用这种利用策略来劫持程序的预期控制流,例如,在访问恶意制作的网页时尝试执行恶意代码以逃离 Web 浏览器的沙箱或远程运行代码。
“一项新功能已添加到位于 System\Device Guard\Turn On Virtualization Based Security 的设置中,称为内核模式硬件强制堆栈保护,” Munck 补充道。
“这项新功能存在硬件依赖性,需要 Intel Tiger Lake 及更高版本或 AMD Zen3 及更高版本。
“此设置依赖于 HVCI(基于虚拟化的代码完整性保护)。只要企业遵循基线,就不应该有任何问题,但是,如果组织偏离 HVCI,则内核模式硬件强制堆栈保护不能启用。”
进一步的 Windows 11 安全保护改进
新的基线通过为仍然依赖用户名和密码 Windows 身份验证的用户添加 Windows Defender SmartScreen 增强的网络钓鱼保护来增加对网络钓鱼攻击的保护。
“这些新功能位于 Windows Components\Windows Defender SmartScreen\Enhanced Phishing Protection 中,可确保企业凭据不会被用于恶意或非预期目的,”Munck 解释说。
“因为这是一个最终用户选项,所以安全基线强制启用服务(启用服务设置),以确保系统中使用的企业凭据得到适当的监控和审计。”
在管理模板\打印机下启用了几个新设置以保护企业,包括“配置 RPC over TCP 端口”、对“RedirectionGuard”的支持、“配置 RPC 连接”的 TCP 强制执行和“配置 RPC 侦听器设置”。
Windows 11 22H2 安全基线还包括通过“允许将自定义 SSP 和 AP 加载到 LSASS”、“将 LSASS 配置为作为受保护进程运行”和“为系统启用 MPR 通知”来限制加载的凭据盗窃保护自定义安全包并阻止向提供商泄露密码。
操作系统基线通过新的“阻止滥用已利用的易受攻击的签名驱动程序”规则减少攻击面,这有助于防止应用程序将易受攻击的签名驱动程序写入磁盘,并通过新的“允许管理员帐户锁定”规则缓解暴力验证攻击.
Microsoft 还建议在管理模板\网络\DNS 客户端下启用“通过 HTTPS (DoH) 名称解析配置 DNS”。虽然尚未进入基线,但希望使用加密 DNS 的企业可以手动启用它。
下载并实施安全基线
Windows 安全基线使企业安全管理员能够使用 Microsoft 推荐的组策略对象 (GPO) 基线来减少攻击面并改善 Windows 企业端点的安全状况。
“安全基线是一组 Microsoft 推荐的配置设置,用于解释其安全影响,”Microsoft 解释说。“这些设置基于 Microsoft 安全工程团队、产品组、合作伙伴和客户的反馈。”
Windows 11 22H2 安全基线现在可通过 Microsoft 安全合规工具包获得。它包括组策略对象 (GPO) 备份和报告、将设置应用到本地 GPO 的脚本以及策略分析器规则文件。
“请从 Microsoft Security Compliance Toolkit 下载内容,测试推荐的配置,并酌情定制/实施,”Munck 补充道。
您可以在宣布此版本的 Microsoft 安全基线博客文章中找到有关在新 Windows 11 中实施的更改的更多详细信息 。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Windows 11 22H2将内核漏洞利用保护添加到安全基线
