par Martin Brinkmann le 25 avril 2019 dans Windows – Pas de commentaires
Microsoft a publié une version provisoire de la ligne de base sécurité pour Windows 10 version 1903, le Mai 2019 mise à Jour, et Windows Server 2019 (v1903).
Si vous pouvez télécharger le projet et passez le mot à la fois, vous pouvez également la tête sur le Microsoft Security Conseils blog si vous êtes simplement intéressé par les choses qui a changé par rapport à la sécurité des données de base pour les versions précédentes de Windows.
Le blog met en relief huit changements en particulier, et au moins on peut rendre la vie des utilisateurs d’ordinateur plus pratique. Microsoft a chuté expiration du mot de passe des politiques qui exigent de fréquents changements de mot de passe à partir de la bases de sécurité pour Windows 10 version 1903 et Windows Server 1903.
J’ai travaillé dans l’informatique support pour un grand financier allemand, de l’organisation de plus de 15 ans. Les politiques de sécurité ont été mis à des normes très élevées et l’un des plus douloureux politiques est celui de l’exécution régulière de changements de mot de passe. Je ne me souviens pas d’intervalle exact, mais c’est arrivé plusieurs fois dans l’année et les règles dictées que vous aviez à choisir un mot de passe sécurisé, pourrait ne pas ré-utiliser toutes les parties du mot de passe existant, et a dû suivre certaines lignes directrices en ce qui concerne la sélection du mot de passe.
Cela a abouti à de nombreuses demandes de soutien par les employés qui ne pouvait pas se souvenir de leurs mots de passe, et d’autres de la rédaction de leur nouveau mot de passe, car ils pourraient vous en souvenez pas.
Microsoft explique la raison derrière la chute de l’expiration du mot de passe des politiques dans le billet de blog. Microsoft mentionne les mêmes problèmes que j’ai eu quand j’ai travaillé dans l’informatique:
Quand les humains choisir leurs propres mots de passe, trop souvent, ils sont faciles à deviner ou à prévoir. Quand les êtres humains sont affectés ou sont contraints de créer des mots de passe qui sont difficiles à mémoriser, trop souvent, ils vont écrire là où d’autres peuvent les voir. Quand les êtres humains sont contraints de changer leurs mots de passe, trop souvent, ils vont faire un petit et prévisible altération de leurs mots de passe existants, et/ou oublier leurs nouveaux mots de passe.
Microsoft note que le mot de passe de l’expiration des politiques d’aide à l’encontre d’un scénario unique uniquement: lorsque les mots de passe se compromise. Si un mot de passe n’obtient pas de compromis, il n’est pas nécessaire de changer régulièrement de mot de passe.
La période par défaut de l’expiration des mots de passe a été fixée à 60 jours, et la valeur par défaut de Windows est de 42 jours. Il a été de 90 jours au plus tôt les lignes de base; c’est un temps long et pas très efficaces, soit comme un mot de passe compromis ne peut pas être changé pendant plusieurs semaines, voire des mois, de sorte qu’un attaquant peut utiliser pour cette période.
Périodique de l’expiration du mot de passe est une ancienne et obsolète, l’atténuation de très faible valeur, et nous ne croyons pas qu’il est intéressant pour notre étude de base pour appliquer une quelconque valeur.
Microsoft signale que d’autres pratiques de sécurité pour améliorer la sécurité de façon significative, même si elles ne sont pas dans la ligne de base. L’authentification à deux facteurs, le suivi de l’insolite de l’activité de connexion, ou l’application d’une liste noire de mots de passe sont mentionnés par Microsoft explicitement.
D’autres changements sont à noter:
- – Déposer l’forcée de la désactivation de la Windows intégré de comptes administrateur et Invité.
- La chute de spécifique de chiffrement de lecteur BitLocker méthodes et la puissance de chiffrement de paramètres.
- La désactivation de la multidiffusion de résolution de nom.
- La configuration de “Laisser Windows apps activer avec la voix, tandis que le système est verrouillé”.
- L’activation de la “Activer svchost.exe les options d’atténuation” de la politique.
- Déposer de l’Explorateur de Fichiers “désactiver la Prévention d’Exécution des Données pour Explorer” et “désactiver le tas de résiliation sur la corruption”.
- La restriction de la NetBT NodeType à nœud-P, le refus de l’utilisation de la diffusion d’enregistrer ou de résoudre des noms, également à atténuer le serveur d’usurpation de menaces.
- L’ajout d’recommandé paramètres d’audit pour le service d’authentification Kerberos.
Maintenant, Vous: Quel est votre mot de passe expiration politiques?