Microsoft oppdaterer Security Baseline: slipper passordets utløp
- Kategori: Windows
Microsoft publisert et utkast til sikkerhetsgrunnlaget for Windows 10 versjon 1903, Mai 2019-oppdateringen og Windows Server 2019 (v1903).
Selv om du kan laste ned utkastet og gå gjennom det ord for ord, kan du også gå over til Microsofts sikkerhetsveiledning-blogg hvis du bare er interessert i tingene som endret seg sammenlignet med sikkerhetsgrunnlagene for tidligere versjoner av Windows.
Blogginnlegget belyser spesielt åtte endringer, og i det minste kan en gjøre datamaskinbrukernes levetid mer praktisk. Microsoft droppet retningslinjer for utløp av passord som krever hyppige passordendringer fra sikkerhetsgrunnlagene for Windows 10 versjon 1903 og Windows Server 1903.
Jeg jobbet i IT-støtte for en stor tysk finansorganisasjon for mer enn 15 år siden. Sikkerhetspolicyer ble satt til svært høye standarder, og en av de mest smertefulle retningslinjene var håndhevelse av regelmessige passordendringer. Jeg kan ikke huske det eksakte intervallet, men det skjedde flere ganger i året, og regler dikterte at du måtte velge et sikkert passord, ikke kunne bruke noen av delene av det eksisterende passordet på nytt, og måtte følge visse retningslinjer for valg av passord .
Dette resulterte i mange støtteforespørsler fra ansatte som ikke kunne huske passordene sine, og andre skrev ned de nye passordene sine fordi de ikke kunne huske dem.
Microsoft forklarer årsaken bak bortfallet av retningslinjer for utløp av passord i blogginnlegget. Microsoft nevner de samme problemene som jeg hadde da jeg jobbet innen IT:
Når mennesker velger sine egne passord, er de for ofte lette å gjette eller forutsi. Når mennesker blir tildelt eller tvunget til å lage passord som det er vanskelig å huske, vil de for ofte skrive dem ned der andre kan se dem. Når mennesker blir tvunget til å endre passord, vil de for ofte gjøre en liten og forutsigbar endring av eksisterende passord og / eller glemme de nye passordene.
Microsoft bemerker at retningslinjene for utløp av passord bare hjelper mot et enkelt scenario: når passord blir kompromittert. Hvis et passord ikke blir kompromittert, er det ikke nødvendig å endre passord regelmessig.
Standardperioden for utløp av passord ble satt til 60 dager, og Windows-standard er 42 dager. Det var 90 dager i tidligere baselinjer; det er lang tid og ikke veldig effektiv, ettersom et kompromittert passord ikke kan endres på flere uker eller måneder, slik at en angriper kan bruke det i den perioden.
Periodisk utløp av passord er en eldgammel og foreldet avbøtning av veldig lav verdi, og vi tror ikke det er verdt for grunnlinjen å håndheve noen spesifikk verdi.
Microsoft bemerker at annen sikkerhetspraksis forbedrer sikkerheten betydelig, selv om de ikke er i utgangspunktet. To-faktor autentisering, overvåking av uvanlig påloggingsaktivitet eller håndheving av en svarteliste med passord nevnes eksplisitt av Microsoft.
Andre endringer som er bemerkelsesverdige:
- Å droppe tvangs deaktivering av innebygd Windows-administrator og gjestekonto.
- Slipp av spesifikke BitLocker-stasjons krypteringsmetoder og chifferstyrkeinnstillinger.
- Deaktiver oppløsning av multicast-navn.
- Konfigurere 'La Windows-apper aktiveres med stemme mens systemet er låst'.
- Aktivere policyen 'Aktiver svchost.exe alternativer for begrensning'.
- Å droppe File Explorer 'Slå av forebygging av utførelse av data for Explorer' og 'Slå avslutning av haug på korrupsjon'.
- Begrense NetBT NodeType til P-node, ikke tillate bruk av kringkasting for å registrere eller løse navn, også for å dempe serverforfalskningstrusler.
- Legger til anbefalte revisjonsinnstillinger for Kerberos autentiseringstjeneste.
Nå du : Hva er retningslinjene for utløp av passord?