مایکروسافت نسخه نهایی استاندارد پیکربندی امنیتی (security baselines) ویندوز 11 را منتشر کرد. اکنون این استاندارد با استفاده از جعبه ابزار Microsoft Security Compliance Toolkit قابل دانلود است.

یک استاندارد امنیتی یا security baseline، گروهی از تنظیمات ویندوزی است که  از پیش توسط مایکروسافت پیکربندی شده است. تیم‌های امنیتی سازمان‌های مختلف، به برخی پیکربندی‌های امنیتی مناسب و قابل توصیه رسیده‌اند. مایکروسافت این توصیه‌ها را از آنها جمع‌آوری کرده و در قالب این security baselineها ارائه می‌دهد.

اکنون پکیج security baselines برای ویندوز 11 عرضه شده است. طبق گفته ریک مانک (Rick Munck)، مشاور امنیتی مایکروسافت، در این پکیج، دو تنظیم امنیتی اضافه شده‌اند (که به ویندوز سرور 2022 نیز افزوده شده‌اند). یکی از این دو تنظیم، مربوط به ویندوز دیفندر و دیگری مربوط به محدودیت‌های نصب درایور پرینتر است.

ویژگی ضد دستکاری

مایکروسافت توصیه می‌کند هنگام فعال کردن security baseline، ویژگی “Tamper Protection” (ضد دستکاری) را در Microsoft Defender for Endpoint فعال کنید. این ویژگی، یک لایه امنیتی بیشتر در برابر باج افزارهای تحت کنترل انسان، اضافه می‌کند.

بدافزارها یا افراد کنترل‌کننده آنها تلاش می‌کنند با غیرفعال کردن راهکارها و قابلیت‌های امنیتی سیستم، با سهولت بیشتری به اطلاعات حساس دست یابند یا بدافزار و ابزارهای بدخواهانه را مستقر کنند. ویژگی ضد دستکاری، با مسدود کردن چنین تلاش‌هایی، لایه امنیتی مذکور را در برابر باج افزارها ایجاد می‌کند.

ویژگی ضد دستکاری، مقادیر پیش‌فرض امنی را برای تنظیمات ضدویروس مایکروسافت دیفندر قرار می‌دهد و مانع دستکاری آنها از طریق رجیستری، cmdletهای پاورشل و سیاست‌های گروهی (group policies) می‌شود. در صورت فعال بودن این ویژگی، مجرمان باج‌گیر در انجام کارهای زیر با سختی بیشتری مواجه می‌شوند:

• غیرفعال کردن محافظت در برابر ویروس و تهدیدات
• غیرفعال کردن محافظت بلادرنگ
• خاموش کردن رصد رفتاری
• غیرفعال کردن ضدویروس‌های مثل IOfficeAntivirus
• غیرفعال کردن محافظت ارائه شده از طریق ابر
• حذف به‌روزرسانی‌های هوش تهدیدات

توصیه‌های مربوط به «کابوس پرینت» و مرورگر اج قدیمی

در این استاندارد، مایکروسافت یک تنظیم جدید اضافه کرده است که نصب درایور پرینتر را به ادمین‌ها منحصر می‌کند. این توصیه جدید در راستای وصله‌ای است که در جولای 2021 برای باگ کابوس پرینت (CVE-2021-34527) منتشر شده است.

در مورد کابوس پرینت بیشتر بخوانید: باگی که به اشتباه فاش شد

علاوه بر آن، همه تنظیمات مربوط به مرورگر اج (Edge) قدیمی نیز حذف شدند. مرورگر اج مبتنی بر HTML، در ماه مارچ به پایان دوره پشتیبانی رسید و در ویندوز 11 حذف شد.

استاندارد امنیتی ویندوز 11 از طریق Microsoft Security Compliance Toolkit قابل دانلود است. مانک می‌گوید: لطفاً این محتویات را دانلود کنید، پیکربندی‌های توصیه شده را آزمایش کنید و آنها را به شکل مناسب پیاده‌سازی یا سفارشی کنید.