◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
删除后,预设密码到期设置应由具有更现代和更好的密码安全实践的组织替换,例如多因素身份验证,检测密码猜测攻击,检测异常登录尝试以及禁止密码列表的实施 (例如Azure AD的密码保护目前在公共预览中可用)。
但是,正如Redmond进一步解释的那样,“虽然我们建议使用这些替代方案,但我们建议的安全配置基线无法表达或强制执行这些基准,这些基线构建于Windows的内置组策略设置之上,并且不能包含客户特定的值。”
早在2016年,美国国家标准与技术研究院(NIST)也建议阅批机构删除密码过期策略,并仅在发现欺诈活动后才建议强制更改密码。
正如“特殊出版物800-63-3:数字认证指南”中所详述的那样,“验证者不应该要求记忆秘密被任意改变(例如,定期)。但是,如果有证据表明存在妥协,核查员应该强制改变。认证“。
微软的Aaron Margosis指出,需要定期更改密码的密码到期机制本身就是一种有缺陷的防御方法,因为一旦密码被盗,应立即采取缓解措施,而不是按照设定的到期策略等待它过期。
此外,即将被删除的策略“只是防止密码(或哈希)在其有效期间内被盗的概率,并且将被未经授权的实体使用。”
正如Microsoft在windows 10版1903配置基线设置的草稿中进一步解释的那样:
定期密码到期是一个古老的,过时的缓解非常低的价值,我们认为我们的基线不能强制执行任何具体的价值。通过从基线中删除它而不是推荐特定值或没有到期,组织可以选择最适合其感知需求的任何内容,而不会违反我们的指导。与此同时,我们必须重申,我们强烈建议采取其他保护措施,即使这些措施不能在我们的基线中表达。
删除密码过期策略而不添加其他面向密码的安全配置并不会直接导致安全性降低,相反,它只是证明安全意识组织需要实施额外措施来强制执行其用户'安全。
正如微软进一步详细说明的那样,“为了避免不可避免的误解,我们在这里只讨论删除密码过期策略 – 我们不建议更改最小密码长度,历史记录或复杂性的要求。”
刚刚发布的安全基线草案还附带了删除默认情况下禁用的内置Administrator和Guest帐户强制执行的提议。
这将允许管理员根据需要启用这两个帐户,但删除此策略不会自动意味着默认情况下将启用帐户。
Microsoft还在windows 10v1903和Windows Server v1903草案基线中添加了许多其他更改,并且还在考虑其他一些修改:
–启用新的“启用svchost.exe缓解选项”策略,该策略对svchost.exe中托管的Windows服务实施更严格的安全性,包括由svchost.exe加载的所有二进制文件必须由Microsoft签名,并且不允许动态生成的代码。请特别注意这个,因为它可能会导致尝试使用svchost.exe主机进程的第三方代码的兼容性问题,包括第三方智能卡插件。
–配置新的应用程序隐私设置,“在系统锁定时让Windows应用程序使用语音激活”,以便在系统锁定时用户无法使用语音与应用程序进行交互。
–禁用多播名称解析(LLMNR)以缓解服务器欺骗威胁。
–将NetBT NodeType限制为P节点,禁止使用广播注册或解析名称,以减轻服务器欺骗威胁。我们在自定义“MS安全指南”ADMX中添加了一个设置,以便通过组策略管理此配置设置。
–通过为Kerberos身份验证服务添加建议的审核设置来更正域控制器基准中的疏忽。
–删除特定的BitLocker驱动器加密方法和密码强度设置。基线一直需要最强的BitLocker加密。我们正在删除该项目有几个原因。默认值是128位加密,我们的加密专家告诉我们,在可预见的未来,它没有被破坏的危险。在某些硬件上,可能会出现明显的性能下降,从128位到256位。最后,许多设备(如Microsoft Surface行中的设备)默认打开BitLocker并使用默认算法。将那些转换为使用256位需要首先解密卷然后重新加密,这会产生临时安全风险以及用户影响。
–删除文件资源管理器“关闭资源管理器的数据执行保护”和“关闭损坏时的堆终止”设置,因为事实证明它们只是强制执行默认行为
windows 10v1903安全基准草案可从此处下载,包括组策略对象(GPO)备份和报告,将设置应用于本地GPO的脚本以及策略分析器规则文件。
通过此草稿版本,Redmond还为管理员提供了详细记录windows 10版本1903和Windows Server版本1903的所有安全设置和组策略的电子表格,以及Microsoft为管理良好的企业系统设置的Microsoft建议配置“, 以及Policy Analyzer为每个安全基准规则文件。
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。