微軟已經發布了 Windows 11 安全配置基線設定的最終版本，今天可以使用微軟安全合規工具包下載。

微軟安全顧問 Rick Munck 表示：“此版本添加了兩個新設定（Windows Server 2022 版本中也添加了這些設定），一個新的 Microsoft Defender 防病毒設定，以及一個用於印表機驅動程式安裝限制的自定義設定。

預設情況下人為操作的勒索軟體保護

在為 Windows 11 啟用 Microsoft 安全基線時，雷德蒙德敦促管理員確保啟用 Microsoft Defender for Endpoint 的 篡改保護 功能，該功能增加了針對人為勒索軟體攻擊的額外保護。

它透過阻止惡意軟體或威脅行為者禁用安全解決方案和作業系統安全功能的嘗試來實現這一點，這將使他們能夠更輕鬆地訪問敏感資料並部署惡意軟體或惡意工具。

篡改保護使用安全的預設值設定 Microsoft Defender 防病毒，並阻止嘗試透過登錄檔、PowerShell cmdlet 或組策略更改它們。

一旦開啟篡改保護，勒索軟體運營商在嘗試執行以下操作時將面臨更具挑戰性的任務：

禁用病毒和威脅防護

禁用實時保護

關斷行為監控

禁用防病毒軟體（例如 IOfficeAntivirus （IOAV））

禁用雲提供的保護

刪除安全情報更新

PrintNightmare 和 Edge Legacy 建議

藉助新的安全基線，Microsoft 還在 MS 安全指南自定義管理模板中添加了一項新設定，以將印表機驅動程式的安裝限制為管理員。

此新建議遵循自 2021 年 7 月以來發布的補丁，以解決 Windows Print Spooler 服務中的 CVE-2021-34527 PrintNightmare遠端程式碼執行漏洞。

在基於 EdgeHTML 的 Web 瀏覽器於 3 月終止支援並從 Windows 11 中刪除後，微軟還刪除了所有 Microsoft Edge Legacy 設定。

“展望未來，請使用新的 Microsoft Edge（基於 Chromium）基線，該基線採用單獨的釋出節奏，並作為 Microsoft 安全合規工具包的一部分提供，”Munck說。

下載並實施安全基線

Windows 安全基線 為管理員提供了 Microsoft 推薦的安全配置基線，旨在減少 Windows 系統的攻擊面並提高 Windows 企業端點的整體安全狀況。

“安全基線是一組 Microsoft 推薦的配置設定，用於解釋其安全影響，”正如 Microsoft解釋的那樣。“這些設定基於 Microsoft 安全工程團隊、產品組、合作伙伴和客戶的反饋。”

Windows 11 安全基線可透過Microsoft 安全合規性工具包下載 。它包括組策略物件 （GPO） 備份和報告、將設定應用於本地 GPO 的指令碼以及策略分析器規則檔案。

“請從 Microsoft 安全合規性工具包下載內容，測試推薦的配置，並根據需要自定義/實施，”Munck 補充道。