von Martin Brinkmann am 25. April 2019 in Windows – Keine Kommentare
Microsoft veröffentlicht einen Entwurf der security baseline für Windows 10-version, 1903, Mai-2019 Update und Windows Server 2019 (v1903).
Während Sie herunterladen können der Entwurf und gehen Sie durch Sie Wort durch Wort, Sie kann auch den Kopf über die Microsoft Security Guidance blog, wenn Sie interessiert sind, in die Dinge, verändert, wenn im Vergleich zu Sicherheits-baselines, die für Vorherige Versionen von Windows.
Der blog-post highlights acht Veränderungen in bestimmten, und-zumindest kann man das Leben von computer-Nutzern mehr bequem. Microsoft fiel Richtlinien zum Ablauf von Kennwörtern, die eine häufige Kennwortänderungen von security baselines für Windows 10 version 1903 und Windows Server 1903.
Ich arbeite im IT-support für einen großen deutschen Finanzkonzern vor mehr als 15 Jahren. Security Richtlinien wurden festgelegt, um sehr hohe standards und eine der schmerzhaftesten Maßnahmen war die Durchsetzung der regelmäßige Passwort-änderungen. Ich kann mich nicht erinnern den genauen Intervall, aber es passiert mehrere Male im Jahr und die Regeln diktiert, die Sie hatten, um ein Sicheres Passwort zu wählen, könnte nicht re-verwenden Sie jedes der Teile, das bestehende Kennwort ein, und mussten sich an bestimmte Leitlinien in Bezug auf die Passwort-Auswahl.
Dies führte dazu, dass viele support-Anfragen von Mitarbeitern, die sich nicht erinnern, Ihre Passwörter und andere schreiben sich die neuen Passwörter ab, weil Sie sich nicht erinnern konnte.
Microsoft erklärt den Grund für das ablegen der Kennwort-Ablauf-Richtlinien in den blog-post. Microsoft erwähnt die gleichen Fragen, die ich hatte, als ich arbeitete in der IT:
Wenn die Menschen wählen Ihre eigenen Passwörter, die allzu oft sind Sie leicht zu erraten oder vorherzusagen. Wenn Menschen zugewiesen werden oder gezwungen, die Passwörter sind schwer zu merken, zu oft werden Sie schreiben Sie nieder, wo andere Sie sehen können. Wenn Menschen gezwungen sind, Ihre Kennwörter zu ändern, zu oft werden Sie eine kleine und vorhersagbare Veränderung Ihrer bestehenden Passwörter und/oder vergessen, Ihre neue Passwörter.
Microsoft stellt fest, dass Richtlinien zum Ablauf von Kennwörtern helfen, gegen ein einzelnes Szenario, nur: wenn Passwörter kompromittiert zu werden. Wenn ein Passwort nicht kompromittiert zu werden, gibt es keine Notwendigkeit, ändern Sie die Kennwörter regelmäßig.
Der Standard-Zeitraum für den Ablauf von Passwörtern wurde auf 60 Tage, und der Windows-Standard ist 42 Tage. Es war 90 Tage, die in früheren Grundlinien; das ist eine lange Zeit und nicht sehr effektiv, entweder als kompromittiert-Passwort kann nicht geändert werden, für mehrere Wochen oder sogar Monate, so dass ein Angreifer kann diese nutzen, für diesen Zeitraum.
Regelmäßige Passwort-Ablauf ist eine alte und veraltete Abschwächung des sehr niedrigen Wert, und wir glauben nicht, dass es sich lohnt, für unsere Grundlinie durchzusetzen, bestimmten Wert.
Microsoft stellt fest, dass andere Sicherheitsmaßnahmen Sicherheit erheblich verbessert, auch wenn Sie nicht in der baseline. Zwei-Faktor-Authentifizierung, die überwachung der ungewöhnliche login-Aktivitäten, oder die Durchsetzung einer schwarzen Liste von Passwörtern sind erwähnt, die von Microsoft ausdrücklich.
Andere änderungen, die bemerkenswert sind:
- Fallen die erzwungene deaktivieren der integrierten Windows-administrator-und Gast-Konto.
- Die Senkung der spezifischen BitLocker drive encryption-Methoden und-Verschlüsselung Einstellungen.
- Das deaktivieren der multicast name resolution.
- Konfigurieren “Lassen Sie Windows apps aktivieren mit Stimme, während das system gesperrt ist”.
- Aktivieren Sie die “Enable svchost.exe mitigation options” – Politik.
- Drop Datei-Explorer “deaktivieren Sie die Datenausführungsverhinderung für Entdecker” und “Turn off-heap-Beendigung der Korruption”.
- Die Einschränkung der NetBT-Knotentyp zu P-Knoten, das Verbot der Verwendung von broadcast-zu registrieren oder auflösen von Namen, auch zur Minderung von server-spoofing-Bedrohungen.
- Hinzufügen empfohlenen überwachungseinstellungen für die Kerberos-Authentifizierung service.
Jetzt Sie: Was ist Ihr nehmen auf den Ablauf des Kennworts die Richtlinien?