以 Microsoft Security Configuration Toolkit 的形式，微軟今天發佈了適用於 Windows 10 21H2 November 2021 功能更新的安全基線（Security Baseline）包。 該工具包提供了一個微軟推薦的安全基線，以説明管理員在不影響安全的前提下更好地管理各種企業組策略物件（GPO）等。

對於 Security Configuration Toolkit，微軟官方的介紹如下

微軟 Security Configuration Toolkit 使企業安全管理員能夠有效地管理其企業的組策略物件（GPO）。 使用該工具包，管理員可以將他們當前的 GPO 與微軟推薦的 GPO 基線或其他基線進行比較，編輯它們，以 GPO 備份檔格式存儲它們，並通過域控制器應用它們或直接注入測試平臺主機以測試它們的效果。

新的基線引入了幾個新的策略設置，如印表機驅動程式安裝限制，以防止像臭名昭著的 PrintNightmare 場景，以及”篡改保護”，這可能有助於防止”人為操作的勒索軟體”以及其他威脅。 除了這兩個，在這個新的基線下，經典版Edge設置也被取消了。

就新的印表機驅動程式安裝限制而言，微軟表示：

我們已經在MS安全指南中添加了一個新的設置（Administrative TemplatesPrintersLimits print driver installation to Administrators），並強制啟用了。 注意這個設置以前是SecGuide.admx/l中的一個自定義設置，後來移到了box中。

而在談到篡改保護時，微軟表示，該功能可以防止惡意軟體。

● 禁用病毒和威脅保護

● 禁用實時保護

● 關閉行為監控

● 禁用防病毒軟體（如IOfficeAntivirus（IOAV））。

● 禁用雲交付的保護

● 刪除安全情報更新

● 禁用對檢測到的威脅的自動行動

Source: Microsoft (1), (2)