微软发布Windows VV务器配置基准草案,并宣布从五月更新起无密码过期政策。
该行动的目标是采用更加高效和安全的密码管理策略来替代现有的基于时间的密码过期机制。例如,实施多重身份验证、检测密码猜测活动、识别异常登录行为以及禁用常用密码列表(如Azure AD当前提供的密码保护功能正处于公开测试阶段)。
然而,微软并未忽视其用户的安全要求。尽管他们不强制执行某些标准,但他们仍提供多种安全替代方案以供选择。这些解决方案旨在提高系统的安全性,但它们依赖于用户的偏好和实际需求。微软的初衷是为用户提供更加灵活和自定义的安全设置选项,而不是强迫遵循特定的配置基线。
早在,美国国家标准与技术研究院(NIST)建议政府部门移除密码过期策略,并在确认欺诈行为时才强制要求更换。根据“特殊出版物数字认证指南”,验证者不应随意变更记忆的秘密,例如定期。然而,若有证据显示存在泄露情况,则验证员应强制更改认证。
密码过期策略被认为是一种过时且价值较低的防护方式。微软的Aaron Margosis指出,一旦密码被盗,应立即采取行动,而不是依赖预定的过期周期。此外,即将被淘汰的策略主要目的是降低在有效期内密码(或哈希值)被盗并被未授权实体利用的可能性。
正如微软在Windows v置基线设置草稿中进一步阐述的那样:“定期密码过期是一种古老且效率低下的缓解措施,我们认为我们的基线无法强制执行这种价值。通过从基线中移除它,而不是推荐特定值或无期限,组织可以依据自身需求选择最合适的内容,同时也不会违背我们的指引。与此同时,我们再次强调,我们强烈建议采用其他保护措施,即便这些措施无法在我们的基线中体现。”
移除密码过期策略的同时保持其他安全设置不改变,不会降低整体安全性,强调了需要采取额外的安全管理措施以防止未经授权的访问。
微软表示,他们不建议改变最小密码长度、历史记录和复杂度要求。相反,为了消除可能的混淆,他们指出只有移除密码过期策略是必要的调整。
新发布的安全基线草案还包括若干其他调整提案:
启用“启用svchost.exe缓解选项”策略能加强对svchost.exe中托管服务的安全管理,确保所有二进制文件需要微软签名,并且禁止动态生成代码,从而提升安全性。然而,此举也可能导致与第三方智能卡等兼容性问题,包括可能冲突的代码或插件。在实施前,请谨慎评估潜在影响并采取适当措施。
轻松调整隐私设置!“在系统锁定时允许Windows应用通过语音激活”解锁全新体验,让你的设备安全无忧!
禁用多播名称解析(LLMNR),以减轻服务器欺骗风险。
我们将NetBT NodeType限制为P节点,并禁止广播注册和解析名称,以降低服务器欺骗的风险。在我们的“MS安全指南” ADMX 中已设置了一个选项,通过组策略进行配置管理。
在域控制器基准中纠正遗漏的Kerberos身份验证服务的建议审核设置。
移除要求定期更改密码的密码过期策略。
移除特定的BitLocker驱动器加密方法和密码强度设置。基线始终要求最强大的BitLocker加密。我们之所以这样做有多方面原因:默认值为加密,我们的加密专家认为在未来一段时间内它不会受到破坏;在某些硬件上,从升级到可能会显著降低性能;并且许多设备(如Surface系列)默认开启BitLocker并使用默认算法,将其转换为使用需要先解密再重新加密,这会带来暂时的安全隐患以及用户体验影响。
移除文件资源管理器中“关闭数据执行保护”和“关闭堆终止”选项,它们实际上是默认行为的一部分。
在官方渠道可获取最新版的Windows v全基准草案,涵盖组策略对象(GPO)、备份与恢复功能、自定义脚本和策略审查工具等详细信息。
通过此草稿版本,微软不仅提供了一份详尽记录了Windows 本Windows Server版本有安全设置和组策略的电子表格,还囊括了Microsoft推荐的企业系统管理配置,并支持Policy Analyzer为每个安全基准规则文件提供的工具。
以上就是如何删除Win10 1903版本中的密码过期策略?的详细内容,更多请关注其它相关文章!
