J’avais loupé l’annonce, Microsoft a annoncé la version finale des baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.
Voici les différences avec la baseline pour Windows 10 1809 :
- Activation de la nouvelle stratégie "Enable svchost.exe mitigation options", qui renforce la sécurité des services Windows hébergés dans svchost.exe, y compris que tous les binaires chargés par svchost.exe doivent être signés par Microsoft, et que le code généré de façon dynamique est interdit. Veuillez porter une attention particulière à celui-ci car il pourrait causer des problèmes de compatibilité avec le code tiers qui tente d'utiliser le processus d'hébergement svchost.exe, y compris les plugins tiers pour cartes à puce.
- Configuration du nouveau paramètre de confidentialité de l'application, "Let Windows apps activate with voice while the system is locked", afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la parole lorsque le système est verrouillé.
- Désactivation de la résolution des noms multicast (LLMNR) pour atténuer les menaces d'usurpation d'identité des serveurs.
- Restriction du NetBT NodeType au nœud P, en interdisant l'utilisation de la diffusion pour enregistrer ou résoudre des noms, également pour atténuer les menaces d'usurpation de serveur.
- Correction d'un oubli dans la baseline du contrôleur de domaine en ajoutant les paramètres d'audit recommandés pour le service d'authentification Kerberos.
- Abandon des stratégies d'expiration des mots de passe qui nécessitent des changements périodiques de mots de passe. Concernant plus de détails sur les motivations pour cet abandon, je vous invite à lire l’article oirginal.
- Suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de l’algorithme de chiffrement. Pour plusieurs raisons, le chiffrement par défaut est de 128 bits, et les experts en cryptographie de Microsoft disent qu'il n'y a aucun danger connu qu'il soit cassé dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances allant de 128 à 256 bits. Enfin, de nombreux périphériques tels que ceux des Microsoft Surface activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion en 256 bits nécessite d'abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi qu'un impact sur les utilisateurs.
- Arrêt des paramétrages de l'explorateur de fichiers "Turn off Data Execution Prevention for Explorer" et "Turn off heap termination on corruption", car il s'avère qu'ils ne font que renforcer le comportement par défaut.
Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-FINAL-for-Windows-10-v1903-and-Windows-Server/ba-p/701084