door Martin Brinkmann op 25 April 2019 in Windows – Geen reacties
Microsoft publiceerde een ontwerp van de security baseline voor Windows-10 versie 1903 Mei 2019 Update en Windows Server 2019 (v1903).
Terwijl u kunt download het ontwerp en het doorlopen van het woord, u kan ook over het hoofd naar de Microsoft Security Guidance blog als je enkel geïnteresseerd bent in de dingen die veranderd vergeleken met security baselines voor eerdere versies van Windows.
De blog post hoogtepunten acht wijzigingen in het bijzonder, en ten minste één kan de levensduur van de computer van gebruikers eenvoudiger. Microsoft liet het vervallen van het wachtwoord beleid waarvoor frequente wachtwoord wijzigingen van de security baselines voor Windows-10 versie 1903 en Windows Server 1903.
Ik werkte in de IT-ondersteuning voor een grote duitse financiële organisatie meer dan 15 jaar geleden. Security beleid werden aan zeer hoge normen en een van de meest pijnlijke beleid is de handhaving van het regelmatig wijzigen van wachtwoorden. Ik kan me niet herinneren de exacte interval maar het gebeurde meerdere keren per jaar en regels gedicteerd dat je moest kiezen van een veilig wachtwoord, kunnen niet opnieuw gebruik maken van een van de onderdelen van het wachtwoord op uw bestaande, en had aan bepaalde richtlijnen volgen met betrekking tot de selectie van het wachtwoord.
Dit resulteerde in vele aanvragen voor ondersteuning door medewerkers die zich niet kunnen onthouden, hun wachtwoorden en anderen schrijven van hun nieuwe wachtwoorden neer, want ze kon zich niet herinneren.
Microsoft legt uit dat de reden achter het vallen van de password expiration beleid in de blog post. Microsoft noemt de zelfde problemen die ik had toen ik werkte in HET:
Wanneer mensen kiezen hun eigen wachtwoord, te vaak zijn ze gemakkelijk te raden of voorspellen. Wanneer de mens zijn toegewezen of worden gedwongen tot het maken van wachtwoorden die moeilijk te onthouden, te vaak zullen ze op te schrijven waar anderen ze kunnen bekijken. Als mensen worden gedwongen om hun wachtwoord te wijzigen, te vaak, ze maken een klein en voorspelbaar wijziging op hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden.
Microsoft merkt op dat het vervallen van het wachtwoord beleid helpt tegen één scenario: als wachtwoorden gekraakt. Als een wachtwoord niet gekraakt, er is geen behoefte om te verander uw wachtwoorden regelmatig.
De standaard periode voor het verlopen van wachtwoorden is ingesteld op 60 dagen, en de Windows standaard is 42 dagen. Het was 90 dagen in eerdere baselines; dat is een lange tijd en niet erg effectief als een besmette wachtwoord kan niet worden gewijzigd voor een aantal weken of zelfs maanden, zodat een aanvaller kan gebruiken voor die periode.
Periodieke wachtwoord verloop is een oude en verouderde beperking van de gevolgen van een zeer lage waarde, en we niet geloven dat het is de moeite waard voor onze baseline af te dwingen van een specifieke waarde.
Microsoft merkt op dat andere beveiliging, verbeteren van de veiligheid aanzienlijk, zelfs al zijn ze niet in de basislijn. Twee-factor authenticatie, het volgen van ongewone login activiteit, of de tenuitvoerlegging van een zwarte lijst van wachtwoorden worden vermeld door Microsoft uitdrukkelijk van de hand.
Andere wijzigingen die zijn opmerkelijk:
- Het schrappen van de afgedwongen uitschakelen van de ingebouwde Windows administrator en Guest-account.
- Het laten vallen van specifieke BitLocker drive encryption methoden en sterkte instellingen.
- Het uitschakelen van multicast name resolution.
- Het configureren van “Laat Windows-programma’ s activeren met stem, terwijl het systeem is vergrendeld”.
- Het inschakelen van de “Enable svchost.exe mitigatie-opties” – beleid.
- Vallen File Explorer “Zet de Data Execution Prevention (dep) voor Explorer” en “Turn off-heap beëindiging van corruptie”.
- Het beperken van de NetBT NodeType P-node, wanneer het gebruik van de uitzending te registreren, of omzetten van namen, ook te beperken server spoofing bedreigingen.
- Het toevoegen van geadviseerde controle-instellingen voor Kerberos-verificatie.
Nu U: Wat is uw mening over het vervallen van het wachtwoord beleid?