微软于 2026 年 2 月 23 日正式发布 Windows Server 2025 最新 2602 修订版安全基线包，现已通过 微软安全合规工具包 提供下载。本次更新包含多项关键安全配置调整与新增建议，旨在帮助用户构建更安全的服务器环境。请及时测试并部署相关配置。

主要安全更新内容

1. 强化权限管理与身份验证安全

禁用 sudo 命令潜在风险：为防止权限提升攻击，建议启用策略 “配置 sudo 命令的行为”，并将 “允许的最大 sudo 模式” 设为 “禁用”（路径：系统 → 配置 sudo 命令行为）。

修复 ROCA 漏洞风险：在域控制器上启用 “配置身份验证期间对 ROCA 漏洞的 WHfB 密钥验证”（路径：系统 → 安全账户管理器），设置为 “阻止” 模式，并配合 WHfBTools PowerShell 模块清理孤立密钥。

2. 应用与浏览器安全

禁用通过 COM 自动化启动 IE11：阻止遗留脚本通过 InternetExplorer.Application 接口调用 IE11，减少 MSHTML 和 ActiveX 组件风险（路径：Windows 组件 → Internet Explorer）。

强制标记不安全文件（MotW）：确保从不受信任来源复制的文件默认应用 Mark of the Web（MotW） 标签，以触发 SmartScreen 和宏阻止保护（路径：Windows 组件 → 文件资源管理器）。

3. NTLM 过渡与审计增强

全面启用 NTLM 审计：

审核所有传入 NTLM 流量（域控制器/成员服务器）。

记录域内 NTLM 直通身份验证请求。

监控传出 NTLM 流量至远程服务器。

默认启用新审计功能：Windows Server 2025 已内置详细 NTLM 日志，无需额外配置。

4. 打印机安全强化

限制 IPP 打印机风险：建议逐步淘汰非加密 IPP 协议（http://）及自签名证书，启用 “对 IPP 打印机要求 IPPS” 和 TLS/SSL 策略（路径：打印机）。

提升 RPC 安全性：强制使用 Kerberos 认证 的 RPC 连接，减少 NTLM 依赖。

5. 安全启动证书管理

新增部署控制策略（路径：管理模板 → Windows 组件 → 安全启动）：

手动触发证书更新（启用安全启动证书部署）。

通过 Windows 更新自动部署（默认开启）。

参与微软 受控逐步推出计划 以降低风险。

注意：部分设备因固件限制可能无法应用更新，建议预先测试。

6. SMB 服务器防护升级

防范中继攻击：

启用 SMB 服务器签名（成员服务器需手动配置，域控制器默认开启）。

部署 SMB 扩展保护（EPA） 验证 SPN 目标。

新增兼容性审计：通过策略 “审核客户端不支持签名” 和 “审核 SMB 客户端 SPN 支持” 评估环境后再实施强化。

行动建议

下载与测试：通过 安全合规工具包 获取基线包，在测试环境中验证配置。

重点检查：优先处理权限提升（sudo）、身份验证（ROCA/NTLM）及 SMB 中继风险。