Microsoft ha rilasciato le “security baseline” per Windows 10 21H2, ovvero tutte le impostazioni di sicurezza che gli amministratori IT devono applicare per proteggere i computer aziendali contro vari exploit. Tra le novità ci sono le funzionalità che bloccano i tentativi di manomissione degli antivirus e le restrizioni per l’installazione dei driver di stampa. Sono state invece rimosse le configurazioni per la versione legacy di Edge.
Impostazioni di sicurezza per Windows 10 21H2
Tra le configurazioni di sicurezza (script PowerShell, criteri di gruppo e altro) ci sono quelle relative alla Tamper Protection per Microsoft Defender for Endpoint. L’azienda di Redmond consiglia di applicarle con urgenza per aggiungere la protezione contro i ransomware. Le impostazioni consentono di impedire la disattivazione delle funzionalità di sicurezza da parte dei malware.
In dettaglio viene bloccata la disabilitazione della protezione da virus, della protezione in tempo reale, del monitoraggio del comportamento e della protezione cloud, la cancellazione degli aggiornamenti delle funzionalità di intelligence e la disabilitazione delle azioni automatiche.
Una delle impostazioni consente l’installazione dei driver delle stampanti di rete solo agli utenti con diritti di amministratore. Questa soluzione era stata già suggerita in occasione della distribuzione delle patch per la famosa vulnerabilità PrintNightmare presente dello spooler di stampa di Windows.
Microsoft ha infine rimosso tutte le impostazioni per la versione legacy di Edge basata su EdgeHTML. Il supporto per il browser è terminato il 9 marzo e non è incluso in Windows 10 21H2.
Tutte le configurazioni sono incluse nel Microsoft Security Compliance Toolkit. Al momento del download è possibile scegliere il file ZIP che interessa (ci sono anche le impostazioni per Windows 11, Edge e Windows Update).