av Martin Brinkmann 25. April 2019 i Windows – 1 kommentar
Microsoft publisert et utkast av sikkerhet baseline for Windows-10 versjon 1903, Kan 2019 Update og Windows Server 2019 (v1903).
Mens du kan laste ned den utkast og gå gjennom det ord for ord, kan du også gå over til Microsoft Security Veiledning blogg hvis du bare er interessert i de tingene som er endret i forhold til sikkerhet grunnlinjene for tidligere versjoner av Windows.
Blogg innlegget høydepunkter åtte endringer i særdeleshet, og minst en kan gjøre livet til datamaskinen brukerne mer praktisk. Microsoft droppet utløp av passord retningslinjer som krever hyppige passord endringer fra sikkerhet grunnlinjene for Windows-10 versjon 1903 og Windows Server 1903.
Jeg jobbet i IT-støtte for en stor tysk økonomisk organisasjon mer enn 15 år siden. Retningslinjer for sikkerhet ble satt til svært høy standard og en av de mest smertefulle politikk var håndhevelse av vanlige passordet endringer. Jeg kan ikke huske det nøyaktige intervall, men det skjedde flere ganger i året, og reglene krevde at du måtte velge et sikkert passord, kan ikke re-bruke alle de deler av den eksisterende passord, og hadde til å følge visse retningslinjer i forhold til passord utvalget.
Dette resulterte i mange henvendelser fra ansatte som ikke kunne huske passordene sine, og andre til å skrive sin nye passord ned fordi de ikke kunne huske dem.
Microsoft forklarer årsaken bak dropping av utløp av passord politikk i blogginnlegget. Microsoft nevner de samme problemene som jeg hadde da jeg jobbet i DET:
Når mennesker plukke sine egne passord, for de er ofte enkle å gjette, eller forutsi. Når mennesker ikke er tildelt, eller tvunget til å lage passord som er vanskelig å huske, for ofte de vil skrive dem ned der andre kan se dem. Når mennesker blir tvunget til å endre sine passord, for ofte vil de gjøre en liten og forutsigbar endring til sine eksisterende passord, og/eller glemme sine nye passord.
Microsoft notater som utløp av passord politikk hjelpe mot en enkelt scenario bare: når passord blir kompromittert. Hvis passordet ikke blir kompromittert, det er ingen behov for å endre passord med jevne mellomrom.
Standard tidsperiode for utløp av passord ble satt til 60 dager, og standard Windows-er 42 dager. Det var 90 dager tidligere grunnlinjene; det er en lang tid og ikke veldig effektivt, enten som en kompromittert passordet kan ikke endres for flere uker eller måneder, slik at en angriper kan bruke det for denne perioden.
Periodisk utløp av passord er en gammel og foreldet reduksjon av svært lav verdi, og vi tror ikke det er verdt for våre baseline til å håndheve en bestemt verdi.
Microsoft bemerker at andre sikkerhetsløsninger forbedre sikkerheten betydelig, selv om de ikke er i baseline. To-faktor-autentisering, overvåking av uvanlig logg aktivitet, eller håndheve en svarteliste av passord er nevnt av Microsoft eksplisitt.
Andre endringer som er verdt å merke seg:
- Slippe tvungen utkobling av den innebygde Windows-administrator og Gjest-kontoen din.
- Gjensetting av spesifikke BitLocker-stasjonskryptering metoder og cipher styrke innstillinger.
- Deaktivering av multicast name resolution.
- Konfigurere “La Windows-apper aktivere stemme med mens systemet er låst”.
- Aktivere “Enable svchost.exe avbøtende valg” – politikk.
- Slippe File Explorer “Slå av Data Execution Prevention for Explorer” og “Slå av haugen avslutning på korrupsjon”.
- Begrense NetBT NodeType til P-node, tillate bruk av kringkasting for å registrere eller løse navn, også for å redusere server spoofing trusler.
- Legge til anbefalt overvåking innstillinger for Kerberos-godkjenning-service.
Nå er Du: Hva er din ta på utløp av passord politikk?