Microsoft vient de mettre à jour (Septembre 2019) les baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.
Voici les différences avec la version finale de la baseline pour Windows 10 1903 :
- Microsoft a supprimé le paramètre de configuration de l'ordinateur, "Enable svchost.exe mitigation options" (dans System\Service Control Manager Settings\Security Settings) en raison des rapports selon lesquels son implantation actuelle cause plus de problèmes de compatibilité que prévu.
- Microsoft a aussi ajusté quelques paramètres d'audit dans la ligne de base du contrôleur de domaine afin de les aligner plus étroitement sur les recommandations du document de référence sur l'audit de sécurité et la surveillance de Windows 10 et Windows Server 2016
|
Audit category |
Audit subcategory |
Ancienne valeur |
Nouvelle valeur |
|
Audit Policy\Account Logon |
Credential Validation |
Success and Failure |
Failure |
|
Audit Policy\Account Logon |
Kerberos Service Ticket Operations |
|
Failure |
|
Audit Policy\DS Access |
Directory Service Access |
Success and Failure |
Failure |
|
Audit Policy\DS Access |
Directory Service Changes |
Success and Failure |
Success |
- Microsoft a aussi ajotué un script Baseline-ADImport.ps1 pour importer toutes les GPOs dans les stratégies de groupe Active Directory.
Pour rappel, voici les changements qui avaient été introduit précédemment.
Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-Sept2019Update-for-Windows-10-v1903-and/ba-p/890940
