Windows 11 25H2安全基线配置指南

本文详细介绍Windows 11 25H2安全基线的下载、导入和部署过程,包含新增的安全设置、移除的配置项,以及通过组策略在Active Directory环境中实施安全基线的具体步骤和最佳实践。

下载并导入Windows 11 25H2安全基线

Microsoft于2025年9月30日发布了Windows 11版本25H2的安全基线。该基线引入了专注于网络安全、攻击面减少和旧版协议消除的配置更改。您可以将安全基线下载并导入到Active Directory组策略中。

25H2安全基线的变化

Windows 11 25H2安全基线引入了四个新设置,同时移除了四个现在反映Windows默认行为的过时配置。

新增设置

  • 身份验证后模拟客户端:基线在用户权限分配策略中添加了计算机配置 > 策略 > Windows设置 > 安全设置 > 本地策略 > 用户权限分配 > 身份验证后模拟客户端\PrintSpoolerService。此配置支持Windows受保护打印引入的受限打印后台处理程序服务身份,在现代打印场景中实现安全令牌模拟。

  • 阻止源自PSExec和WMI命令的进程创建:在计算机配置 > 策略 > 管理模板 > Windows组件 > Microsoft Defender防病毒 > Microsoft Defender Exploit Guard > 攻击面减少 > 配置攻击面减少规则下的攻击面减少规则现在包含此规则,并推荐使用审核模式值。

  • 配置NetBIOS设置:在计算机配置 > 策略 > 管理模板 > 网络 > DNS客户端下的配置NetBIOS设置策略现在在所有网络适配器上禁用NetBIOS名称解析,包括专用和域网络。

  • 在进程创建事件中包含命令行:基线在系统\审核进程创建下启用了此设置。此配置在进程创建事件日志中捕获命令行参数,提高了对恶意活动的检测能力。

移除的设置

  • 控制排除项是否对本地用户可见:此设置被移除,因为父策略控制排除项是否对本地管理员可见优先。

  • 扫描打包的可执行文件:此设置被移除,因为它不再有任何效果。

  • WDigest身份验证:此策略从基线中移除,因为Microsoft在Windows 11 24H2中弃用了此策略设置。

  • 通过COM自动化禁用Internet Explorer 11启动:基线移除了此显式配置。

下载安全基线

安全基线包含在Microsoft安全合规工具包中,可从官方Microsoft下载中心下载。

下载包包括各种Windows版本、Microsoft Office和Microsoft Edge的安全基线,以及策略分析器和本地组策略对象实用程序等分析工具。

解压下载的安全合规工具包后,您会发现几个关键子目录:文档包含详细说明设置的电子表格和PDF,GP报告提供GPO设置的HTML报告,GPOs包含可导入的组策略对象,脚本包括PowerShell自动化,模板仅包含定义基线中推荐的自定义策略所需的特定ADMX/ADML管理文件。

导入安全基线

建议在导入基线之前创建中央存储,但不是必需的。如果不存在中央存储,GPMC使用本地PolicyDefinitions文件夹,您可以使用EnableLocalStoreOverride注册表设置强制使用本地模板。

创建中央存储

中央存储路径遵循域名 > sysvol > 域名 > 策略 > PolicyDefinitions格式。在添加新文件之前,请备份现有的PolicyDefinitions文件夹。将安全基线的模板文件夹中的ADMX文件复制到中央存储PolicyDefinitions目录,并将相应的ADML语言文件复制到适当的语言子目录(例如en-US)。中央存储文件会自动复制到域中的所有域控制器。

导入GPO设置

打开组策略管理控制台并导航到组策略对象容器。右键单击并选择"新建"以创建新的GPO,提供描述性名称,如"Windows 11 25H2安全基线"。右键单击新创建的GPO,然后从上下文菜单中选择"导入设置"。

在备份位置对话框中单击"浏览",导航到提取的安全基线文件夹,特别是GPOs子目录。选择与所需配置对应的GPO备份文件夹。导入向导将显示来自所选位置的可用GPO。选择要导入的GPO并完成向导,以用备份中的设置替换目标GPO中的设置。

导入后,配置WMI筛选器以针对特定的Windows 11版本或组织单位。将导入的GPO链接到Active Directory中的适当组织单位,以将安全基线应用于目标计算机。

部署建议

一位有经验的用户在Eleven论坛上警告说,安全基线只能由经验丰富的Windows专业人员实施,并指出首先在虚拟机上测试至关重要。该用户报告说,如果没有适当的专业知识,基线可能会很快将用户锁定在其系统之外,强调在生产部署之前需要仔细评估。

Microsoft建议在生产部署之前在隔离环境中测试安全基线。创建测试组织单位或使用虚拟机来验证应用程序兼容性并识别潜在的工作流中断。

当部署到生产环境时,使用分阶段推出策略,从试点组开始,然后扩展到更广泛的组织单位。监视事件日志和用户报告,了解与新强制执行的安全设置相关的问题,特别是那些影响旧版协议使用或管理工作流的问题。

记录与基线配置的任何必需偏差以及每个例外的理由。随着安全形势和组织需求的发展,定期审查应重新评估这些例外。

来源

  • Windows 11版本25H2安全基线
  • 安全基线下载配置指南
  • 创建和更新组策略中央存储以获取ADMX模板
  • Microsoft安全合规工具包1.0
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次