Inicio ” Windows 10 ” Borrador de línea de base de seguridad para Windows 10 versión 1809 y Server 2019

Borrador de línea de base de seguridad para Windows 10 versión 1809 y Server 2019

2

Microsoft ha presentado hoy el Borrador de línea de base de seguridad para Windows 10 versión 1809 y Windows Server 2019. Esta característica ayudará a los usuarios a proteger la versión del sistema operativo de una mejor manera. El archivo incluye documentación, informes GP, GPOs, Local_Script y plantillas.

El borrador de la línea de base de seguridad para Windows 10 versión 1809 y Server 2019 viene en un archivo adjunto que se puede descargar desde la parte inferior de esta página. Esto tiene GPO importable, un script PowerShell, archivos ADMX personalizados.

Seguridad>>Seguridad>

El Borrador de línea de base de seguridad para Windows 10 versión 1809 y Server 2019 incluye documentación en.xlsxso ver los detalles de estos –

MS Security Baseline Windows 10 v1809 y Server 2019.xlsx

Se trata de un libro de trabajo con varias pulsaciones que incluye toda la configuración de la directiva de grupo que se incluye en el paquete con la versión de actualización de Windows 10 y Windows Server 2019 también. 3 Columnas existentes Windows 10 v1809, WS2019 Member Server y WS2019 DC muestran las opciones recomendadas para esos escenarios. Unas pocas celdas codificadas por colores significan que no deben aplicarse a sistemas que no estén unidos a un dominio de Active Directory. Las celdas resaltadas en las columnas de CC de WS2019 muestran la diferencia con las celdas correspondientes en la columna Servidor de miembro de WS2019. Otro cambio con respecto a las hojas de cálculo anteriores es que Microsoft ha combinado pestañas para separar las cosas. En particular, no son pestañas aislantes para la configuración de Internet Explorer (IE) y Windows Defender AV ni para la configuración de LAPS, MS Security Guide y MSS (Legacy). Todos estos ajustes están disponibles ahora en las pestañas Ordenador y Usuario.

BaselineDiffs-to-v1809-RS5-DRAFT.xlsx

Este libro de trabajo generado por Policy Analyzer muestra las diferencias en las líneas de base de la configuración de seguridad de Microsoft. Verá la comparación entre las configuraciones de Windows 10 1809 y Windows 10 1803. Además, verá la diferencia entre las líneas de base de Windows Server 2019 y Windows Server 2016.

Windows 10 1803 a 1809 Nueva configuración.xlsx

El libro de trabajo enumera todos los ajustes de la versión 1809 de Windows 10 que se han realizado desde Windows 10 1803.

Servidor 2016 a 2019 Nueva configuración.xlsx

Muestra todos los ajustes disponibles en Windows Server 2019 que se agregaron desde Windows Server 2016. (Solíamos resaltar estos ajustes en las grandes hojas de cálculo de todos los ajustes.)

Destaca las diferencias con respecto a las líneas de base pasadas, que se enumeran en BaselineDiffs-to-v1809-RS5-DRAFT.xlsx:

• La “configuración personalizada de MS Security Guide”, que protege de aplicaciones potencialmente no deseadas, ha quedado obsoleta en esta línea de base. Los encontrará con una nueva configuración en “Computer Configuration…Windows Defender Antivirus”.
• Microsoft ha habilitado la configuración de Encryption Oracle Remediation en la actualización de Windows 10 April 2018.

Han venido con los siguientes cambios en la configuración de la seguridad basada en la virtualización (Credential Guard y Code Integrity) –

• El nivel de seguridad de la plataforma cambia de “Secure Boot and DMA Protection” a “Secure Boot”. Si el hardware no es compatible con la protección DMA, cuando seleccione Arranque seguro y Protección DMA, impedirá que funcione Credential Guard. Por lo tanto, si acepta que sus sistemas admiten la función de protección DMA, elija la opción más fuerte. Microsoft ha optado por el arranque seguro (sólo) en la línea de base para minimizar la posibilidad de que Credential Guard no se ejecute.
• El borrador de la línea de base de seguridad para Windows 10 versión 1809 y Server 2019 ha permitido la configuración de inicio seguro de System Guard en hardware compatible. Esto cambia el método de inicio de Windows para utilizar Intel Trusted Execution Technology y Runtime BIOS Resilience. Como resultado, reduce los exploits de firmware para impactar la seguridad del entorno de seguridad basado en la virtualización de Windows.
• El borrador de la línea de base de seguridad para Windows 10 versión 1809 y Server 2019 habilitó la opción Requerir tabla de atributos de memoria UEFI.
• Microsoft habilitó la nueva función de protección DMA del kernel. La política de enumeración de dispositivos externos gestiona si se deben enumerar los dispositivos incompatibles con el mapeo DMA. Los dispositivos que son compatibles con DMA-remapping siempre se enumeran.
• Eliminaron la configuración específica de BitLocker (permitir el arranque seguro para la validación de la integridad), ya que sólo aplicaba un valor predeterminado que no era convincente para ser modificado incluso por un administrador equivocado.
• Microsoft eliminó la configuración de BitLocker: configure la longitud mínima del PIN para la configuración de inicio como nuevas características de hardware. Reduce el requisito de un PIN de inicio y la configuración aumenta el mínimo de Windows en un solo carácter.
• Habilitaron la nueva configuración de Microsoft Edge para restringir a los usuarios la posibilidad de eludir el mensaje de error del certificado.
• Microsoft despejó el bloqueo para manejar las solicitudes de autenticación PKU2U, ya que la necesidad de la función iba en aumento.
• Se eliminó la configuración de Crear enlaces simbólicos de asignación de derechos de usuario.
• Microsoft eliminó las restricciones de denegar el acceso al grupo de Invitados, ya que era muy exigente. Mediante la configuración integrada, la cuenta de Invitado es el único miembro del grupo de Invitados, y la cuenta de Invitado está deshabilitada. Sólo un administrador tiene la capacidad de habilitar la cuenta Invitado o de agregar miembros al grupo Invitados.
• Microsoft eliminó la desactivación del Servicio de supervisión de juegos de Xbox, ya que no existe en Windows 10 1809.
• Eliminaron la Credential Guard de la línea de base del controlador de dominio. (La función no es útil en controladores de dominio
• Microsoft agregó y habilitó una nueva configuración personalizada de la Guía de seguridad de MS para la línea de base del controlador de dominio Esta es la protección extendida para la autenticación LDAP (sólo controladores de dominio). Este ajuste configura el valor de registro “LdapEnforceChannelBinding”.
• Las líneas de base de Server 2019 incluyen todas las modificaciones almacenadas en las 4 versiones de Windows 10 desde Windows Server 2016.

Microsoft ha reemplazado la colección de archivos por lotes.cmd por un único script PowerShell. Esto es aplicable a las líneas de base de la política local que toma uno de estos 5 conmutadores de línea de comandos para indicar cuál desea aplicar:

.BaselineLocalInstall.ps1 -Win10DomainJoined – para Windows 10 v1809, domain-joined

BaselineLocalInstall.ps1 -Win10NonDomainJoined – para Windows 10 v1809, no unido a un dominio

.BaselineLocalInstall.ps1 -WS2019Member – para Windows Server 2019, dominio unido

BaselineLocalInstall.ps1 -WS2019NonDomainJoined – para Windows Server 2019, no unido a un dominio

BaselineLocalInstall.ps1 -WS2019DomainController – para Windows Server 2019, controlador de dominio

¿Cómo aplicará el scriptBaselineLocalInstall.ps1? –

• Asegúrese de que la política de ejecución de PowerShell esté configurada para permitir la ejecución de scripts. Puede configurar lo mismo con la siguiente línea de comandos –

  Establecer-EjecuciónPolicy RemoteSigned

• LGPO.exe debe existir en el subdirectorio Herramientas o en algún lugar de la Ruta. Puedes descargar LGPO. desde aquí.

La actualización de Windows 10 ha mejorado su capacidad de administración mediante la administración de dispositivos móviles. El equipo de Intune está documentando la línea base de seguridad de MDM. Además, Microsoft publicará muy pronto cómo usar Intune para implementar la línea de base.

Descargar la línea de base de seguridad

El Borrador de línea de base de seguridad para Windows 10 versión 1809 y Server 2019 contiene archivos adjuntos descargables, GPO importable, un script PowerShell, archivos ADMX personalizados, documentación en forma de hoja de cálculo, además de un archivo Policy Analyzer (MSFT-Win10-v1809-RS5-WS2019-DRAFT.PolicyRules).

Fuente – Technet blog.