Microsoft a annoncé la publication finale des paramètres de Baseline de sécurité pour Windows 10 version 1903 ainsi que pour Windows Server version 1903 (version Server Core).

Cette nouvelle mise à jour de fonctionnalités Windows10 n’apporte que très peu de nouveaux paramètres de stratégie de groupe. Cette nouvelle mouture des baseline ne recommande de ne configurer que deux d’entre elles. Toutefois, plusieurs modifications aux paramètres existants ont été apporté.

Les modifications apportées aux baseline Windows 10 v1809 et Windows Server 2019 incluent :

  • L’activation de la nouvelle stratégie « Activer les options d’atténuation svchost.exe», qui applique une sécurité plus stricte sur les services Windows hébergés dans svchost.exe, stipule notamment que tous les fichiers binaires chargés par svchost.exe doivent être signés par Microsoft et que le code généré de manière dynamique n’est pas autorisé. Portez une attention particulière à celui-ci, car cela pourrait entraîner des problèmes de compatibilité avec du code tiers essayant d’utiliser le processus d’hébergement svchost.exe, y compris les plugins tiers de cartes à puce.
  • En configurant le nouveau paramètre de confidentialité des applications, « Laisser les applications Windows activer la voix lorsque le système est verrouillé », afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la voix lorsque le système est verrouillé.
  • Désactivation de la résolution de nom de multidiffusion (LLMNR) pour atténuer les menaces d’usurpation de serveur.
  • Limiter le type de nœud NetBT au nœud P, interdire l’utilisation de la diffusion pour enregistrer ou résoudre les noms, ainsi que pour atténuer les menaces d’usurpation de serveur. Microsoft a ajouté un paramètre à l’ADMX «MS Security Guide» pour permettre la gestion de ce paramètre de configuration via la stratégie de groupe.
  • Correction d’un oubli dans la ligne de base du contrôleur de domaine en ajoutant les paramètres d’audit recommandés pour le service d’authentification Kerberos.
  • Suppression des stratégies d’expiration de mot de passe nécessitant des modifications périodiques du mot de passe.
  • Suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de renforcement du chiffrement. La baseline a requis le cryptage BitLocker le plus puissant qui soit. Cet élément est supprimé pour plusieurs raisons. Le cryptage par défaut est 128 bits et les experts Microsoft en cryptographie disent qu’il n’y a aucun risque connu de rupture dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances en allant de 128 à 256 bits. Enfin, de nombreux périphériques, tels que ceux de la ligne Microsoft Surface, activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion de ceux-ci en 256 bits nécessite tout d’abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi qu’un impact sur l’utilisateur.
  • Suppression de l’explorateur de fichiers «Désactiver les paramètres de prévention de l’exécution des données pour l’explorateur» et «Désactiver l’arrêt du tas en cas de corruption», car ils ne font qu’appliquer le comportement par défaut, comme le décrit Raymond Chen ici .

Les modifications supplémentaires qui ont été adoptées depuis la publication de la version préliminaire incluent :

  • Abandonner l’application du comportement par défaut de désactivation des comptes administrateur et invité intégrés. 
  • Suppression d’un paramètre Windows Defender Antivirus qui s’applique uniquement aux formats de fichier de courrier électronique hérités.
  • Modification de la configuration XML de Windows Defender Exploit Protection pour permettre à Groove.exe (OneDrive for Business) de lancer des processus enfants, en particulier MsoSync.exe, nécessaires à la synchronisation de fichiers.

Pour les télécharger à partir de Microsoft Security Compliance Toolkit 

Pour en savoir plus : Article officiel