- マイクロソフトは、Windows 102004のセキュリティベースラインに対する新しい変更を発表しました。
- この更新プログラムは、パスワードの長さのポリシー、Microsoft Defender ATP、およびその他のWindowsセキュリティ機能に触れています。
- PCを最適に保護する他の方法を見つけるには、 Windows10のセキュリティ セクション。
- あなたはいつでも立ち寄ることができます ウインドウズ10 オペレーティングシステムおよびMicrosoftOfficeを含むWindowsアプリに関連するニュースおよびすべての事項の更新。
Microsoft Defender Advanced Threat Protection(MDATP)を含むすべてのウイルス対策ツールを利用できる場合でも、Windows10のセキュリティにベストプラクティスを適用するのは簡単な作業ではありません。
しかし マイクロソフトのセキュリティベースライン 攻撃対象領域を最小限に抑えるように環境を構成するときに、作業がはるかに簡単になります。
さて、マイクロソフトは最近、Windows10とWindowsServer2004の基本的なセキュリティ構成設定をリリースしました。
Windows 102004セキュリティベースラインの4つの構成設定の更新
1. LDAP認証の拡張保護
Microsoftは、MSセキュリティガイドを更新して、LDAP認証の拡張保護をWindowsの一部にしました。 ただし、この設定はWindows Server v1809ドメインコントローラーのベースラインに付属しているため、新しいものではありません。
最新のセキュリティベースラインの変更により、カスタムADMXを作成しなくても、LDAP認証用の拡張保護を使用できます。 さらに、このポリシーはすべてのActiveDirectoryドメインコントローラーで使用できます。
ただし、LDAP認証の拡張保護のベースライン値は同じままです。 その場所だけが変更されました。
ただし、Windows 10でポリシーを構成するには、2020年3月10日のセキュリティパッチをインストールしておく必要があります。
2. Microsoft DefenderATPファイルハッシュ
MDATP ユーザーは、ファイルハッシュをオンにし、Windowsアンチウイルスのカスタムインジケーターのブロックを強化するオプションを利用できるようになりました。
新しい設定がオンの場合、WindowsはMDATPがスキャンするすべての実行可能ファイルのファイルハッシュを計算します。
ただし、落とし穴があります。MDATPファイルのハッシュによってPCの速度が低下する可能性があります。 実行可能ファイルを頻繁にインストールまたは開発したり、アプリケーションを更新したりする場合は、確かにマシンに負担がかかります。
マイクロソフト 説明します:
パフォーマンスをより徹底的にテストしたいシナリオには、頻繁に使用するデバイスが含まれます 新しい実行可能コンテンツ(開発者など)を作成するか、アプリケーションを極端にインストールまたは更新する場所 頻繁に。
このツールは、スキャンされた実行可能ファイルごとに1回だけファイルハッシュを生成することにより、パフォーマンスへの影響を軽減します。 それでも、Microsoft Defender ATPを使用しない場合は、新しい設定をオフのままにしておくことをお勧めします。
本当に設定を使用する必要がある場合は、制御された方法で実装することをお勧めします。 これにより、徹底的なパフォーマンスコスト分析を行うことができます。
3. Windows10アカウントのパスワードの長さ
Microsoftは、アクセスにパスワードを必要としないシステムの構築に熱心に取り組んでいるようです。 あなたはそのような機能の最新の改善からそれを知ることができます Windows Hello.
Windows 10アカウントのパスワードの有効期限ポリシーを廃止した後、レドモンドの技術大手は2つの新しいパスワードセキュリティ設定を導入しました。
パスワードの最小長の制限を緩和する は新しい設定の1つであり、管理者は最大128文字のユーザーパスワードの長さを適用できます。 この更新の前は、ユーザーは14文字を超えるパスワードを設定できませんでした。
パスワードが長いほど推測が難しく、ブルートフォース攻撃に対する重要な保護手段です。
ただし、Microsoftによると、新しい設定は既存のシステムやプロセスと互換性がない可能性があります。 だから新しいものがあります パスワードの最小長の監査 設定。
追加機能を使用すると、パスワードの長さのポリシーを変更した場合の影響を評価できます。 それとは別に、構成、エラー、および認識のための3つの新しいSAMイベントが含まれています。
これにより、パスワードの長さのポリシーを変更する可能性が低くなり、変更によって他のWindowsシステムに損害が生じる可能性があります。
それでも、新しいポリシーはWindows 102004のセキュリティベースラインの一部ではありません。
4. 行動モニタリング
Microsoftは、Behavior Monitoringに強制が必要であるとは考えていないため、セキュリティベースラインから削除しました。 その結果、機能は通常の場所にありません。
マイクロソフトは次のように付け加えました。
Computer Configuration \ Administrative Templates \ Windows Components \ Microsoft Defender Antivirus \ Real-time Protection \ Turn on BehaviorMonitoringを削除します。
Microsoftは、セキュリティベースラインの変更を発表するほか、LGPOとPolicyAnalyzerのアップデートをリリースすることを明らかにしました。
最新のWindows10セキュリティベースラインアップデートについてどう思いますか? 以下のコメントセクションであなたの考えを共有してください。
