微软更新WinServer安全模板，增强防护更勤快​

Meise

微软最近发布了新一版给Windows Server 2025用的安全配置推荐包，称为“安全基线”。这个六月份（2025年6月）的更新包（版本号v2506）已经可以在微软官方的“安全合规工具包”（Microsoft Security Compliance Toolkit）里下载了。系统管理员拿到它之后，可以先在自己的环境里测试这些微软推荐的配置合不合适，然后按需进行调整或直接部署，让你的服务器环境更安全、更统一。

为啥微软现在要更频繁地更新这些安全配置建议呢？微软说了，主要是三个原因：现在的网络威胁花样越来越多、Windows本身在推出新功能、还有广大管理员用户们反馈了宝贵的意见。这个安全基线更新包，简单来说就是微软打包好的、他们认为最能保障服务器安全的一套配置设置，用好了能帮你建起防护更好、各个服务器行为也更一致的Windows Server环境。

这次6月的发布，是Windows Server 2025自今年1月后迎来的第一次安全基线更新。改动的地方有好几项，其中两处特别值得注意：一个是删掉了对旧认证方式WDigest的强制要求，另一个是新增了要求记录“进程启动时的命令行参数”的配置。

为什么微软要移除WDigest认证这条老规矩？微软解释得很清楚：因为这在Windows Server 2025上已经没必要了。原来这条规则是为了防止WDigest把密码用明文形式存在内存里——这可是过去一大安全风险点。然而，从去年（2024年）10月的24H2版本更新开始在Windows Server 2022上，这个设置就已经过时失效了。既然系统自己都处理好了，微软自然就觉得没必要再在推荐配置里强调这一条。

这次新增的“记录进程启动命令行”要求（配置项名：Include command line in process creation events），为的是让系统管理员能更清楚地“看”到程序到底是怎么被启动运行的。把启动程序时附带的具体命令参数也抓下来记在日志里，好处就是管理员在排查安全问题时更方便了——有些恶意活动伪装得跟正常操作很像，但有没这些命令记录，查起来效果差别很大。

如果你还想详细了解这次安全基线更新的其他改动项具体是怎么操作的，可以去看看微软官方发布的完整公告说明，那里每条都有解释。对管理员来说，想深入摸透所有调整的细节，这份官宣是必看的参考资料。