af Martin Brinkmann April 25, 2019 i Windows – Ingen kommentarer
Microsoft har offentliggjort et udkast af sikkerhed baseline for Windows 10 version 1903, Kan 2019 Update og Windows Server 2019 (v1903).
Mens du kan hente forslag til og gå igennem det ord for ord, kan du også gå over til Microsoft Security Vejledning blog, hvis du bare er interesseret i de ting, der ændrede sig, da i forhold til sikkerhed basislinjer for tidligere versioner af Windows.
Blog-indlæg fremhæver otte ændringer i særdeleshed, og mindst én kan gøre livet af computer-brugere er mere praktisk. Microsoft faldet password, udløbsdatoen og politikker, der kræver hyppige ændringer af adgangskode fra sikkerhed basislinjer for Windows 10 version 1903 og Windows Server 1903.
Jeg har arbejdet i IT-støtte til en stor tysk finansielle organisation for mere end 15 år siden. Sikkerhedspolitik blev sat til meget høje standarder og en af de mest smertefulde politikker var håndhævelse af regelmæssige ændringer af adgangskode. Jeg kan ikke huske det præcise interval, men det er sket flere gange om året og regler dikterede, at du var nødt til at vælge en sikker adgangskode, skal ikke kunne re-bruge nogen af de dele af den eksisterende adgangskode, og var nødt til at følge visse retningslinjer i forhold til password udvalg.
Dette resulterede i mange henvendelser fra medarbejdere, der ikke kunne huske deres passwords, og andre til at skrive deres nye kodeord ned, fordi de ikke kunne huske dem.
Microsoft forklarer årsagen til den faldende password, udløbsdatoen og politikker i de blog-indlæg. Microsoft nævner de samme spørgsmål, som jeg havde, da jeg arbejdede i DET:
Når mennesker vælge deres egne adgangskoder, alt for ofte, at de er nemme at gætte eller forudsige. Når mennesker er tildelt eller tvunget til at oprette adgangskoder, der er svære at huske, for ofte vil de skrive dem ned, hvor andre kan se dem. Når mennesker er tvunget til at ændre deres adgangskoder, alt for ofte, at de vil lave en lille og forudsigelig ændring til deres eksisterende adgangskoder, og/eller glemme deres nye adgangskoder.
Microsoft bemærker, at udløb af adgangskode politikker hjælp mod en enkelt scenario: når adgangskoder bliver kompromitteret. Hvis en adgangskode ikke bliver kompromitteret, er der ingen grund til at skifte password regelmæssigt.
Den standard periode til udløb af passwords, der var sat til 60 dage, og Windows standard er 42 dage. Det var 90 dage i tidligere basislinjer; det er lang tid og ikke særlig effektivt, enten som en kompromitteret password kan ikke ændres for flere uger eller endda måneder, så en hacker kan udnytte det for den pågældende periode.
Periodiske udløb af adgangskode er en gammel og forældet afbødning af meget lav værdi, og vi tror ikke, det er umagen værd for vores baseline til at håndhæve nogen bestemt værdi.
Microsoft bemærker, at andre sikkerheds praksis til at forbedre sikkerheden væsentligt, selv om de ikke er i baseline. To-faktor-autentificering, overvågning af usædvanlige login aktivitet, eller håndhæve en liste over adgangskoder, der er nævnt af Microsoft eksplicit.
Andre ændringer, som er værd at bemærke:
- At droppe den tvungne deaktivering af den indbyggede Windows-administrator og Gæst konto.
- Slippe af specifikke BitLocker-drevkryptering metoder og cipher styrke indstillinger.
- Deaktivering af multicast name resolution.
- Konfiguration “Lad Windows-programmer aktiveres med en stemme, mens systemet er låst”.
- Aktivering af “Aktiver svchost.exe afbødningsmuligheder” – politik.
- Droppe File Explorer “Slå forhindring af datakørsel til Explorer” og “Turn off bunke opsigelse på korruption”.
- Begrænsning af NetBT-NodeType til S-node, udelukke anvendelsen af broadcast til at registrere eller løse navne, også til at afbøde server spoofing trusler.
- Tilføjelse anbefalet revision indstillinger for Kerberos-godkendelse service.
Nu kan Du: Hvad er dit bud på, password, udløbsdatoen og politikker?