Ambientes empresariais complexos exigem regras rigorosas, e a Microsoft costuma guiar os administradores de sistemas sobre as melhores práticas para configurar as suas infraestruturas. Uma das ferramentas mais úteis para padronizar estas implementações é o pacote de linha de base de segurança (security baseline). Agora, a gigante tecnológica atualizou este conjunto de diretrizes para o Windows Server 2025, na sua versão 2602.
Bloqueio do comando sudo e adeus ao Internet Explorer
Para quem não está familiarizado, este pacote é essencialmente um conjunto pré-configurado de objetos de política de grupo (GPO), ajustes de registo e políticas de segurança recomendadas pela empresa. Uma das mudanças mais notórias nesta versão é a desativação do modo sudo em servidores membros (MS) e controladores de domínio (DCs). A justificação é simples: este comando poderia ser explorado por atacantes para elevar os seus privilégios e contornar os avisos de controlo de conta de utilizador (UAC).
Além disso, a validação de chaves do Windows Hello para Empresas (WHfB) vulneráveis ao ataque ROCA foi configurada para o modo de bloqueio nos controladores de domínio, mitigando falhas conhecidas. Outra alteração partilhada com o Windows 11 na versão 25H2 é a desativação do arranque do Internet Explorer 11 via automação COM, uma vez que componentes antigos representam sempre um risco acrescido de cibersegurança.
Os ficheiros descarregados da internet ou de outras fontes não confiáveis passam também a receber a etiqueta Mark of the Web (MotW). Isto força a aplicação de proteções adicionais, como a filtragem do SmartScreen e o bloqueio de macros em aplicações do Office.
Mais controlo sobre o tráfego NTLM e impressoras
No que diz respeito ao NTLM, a nova linha de base reforça a auditoria. O tráfego NTLM de entrada está agora configurado para auditar todas as contas, tanto nos servidores membros como nos controladores de domínio. A autenticação NTLM no domínio também regista tudo no controlador, e o tráfego de saída para servidores remotos segue a mesma regra rigorosa. Importa referir que as melhorias de auditoria NTLM já vêm ativadas por defeito, garantindo uma visão muito mais clara sobre como este protocolo está a ser usado na rede.
Houve também tempo para limpezas: a política relacionada com a prevenção de transferência de anexos foi removida deste pacote mais recente, uma vez que já não se aplica ao Windows Server 2025.
As políticas de impressão também sofreram ajustes finos. As ligações RPC exigem agora o padrão sobre TCP com autenticação ativada. As configurações do ouvinte RPC passam a exigir Kerberos nos servidores membros, e foi adicionada uma restrição específica ao serviço de spooler de impressão para garantir que a personificação de clientes ocorre de forma segura.
Para os administradores que querem mergulhar em todos os pormenores técnicos, incluindo orientações sobre a expiração de certificados Secure Boot e o reforço do servidor SMB, todos os detalhes podem ser consultados diretamente no blog oficial da comunidade técnica.
Nenhum comentário
Seja o primeiro!