Microsoft宣布了windows 10v1903(19H1)和Windows Server v1903配置基线设置草稿版本,以及从windows 10May 2019更新开始删除密码到期策略意图。
删除后,预设密码到期设置应由具有更现代和更好密码安全实践组织替换,例如多因素身份验证,检测密码猜测攻击,检测异常登录尝试以及禁止密码列表实施 (例如Azure AD密码保护目前在公共预览中可用)。
但是,正如Redmond进一步解释那样,“虽然我们建议使用这些替代方案,但我们建议安全配置基线无法表达或强制执行这些基准,这些基线构建于Windows内置组策略设置之上,并且不能包含客户特定值。”
早在2016年,美国国家标准与技术研究院(NIST)也建议政府机构删除密码过期策略,并仅在发现欺诈活动后才建议强制更改密码。
正如“特殊出版物800-63-3:数字认证指南”中所详述那样,“验证者不应该要求记忆秘密被任意改变(例如,定期)。但是,如果有证据表明存在妥协,核查员应该强制改变。认证“。
密码过期策略是一种过时缓解措施
微软Aaron Margosis指出,需要定期更改密码密码到期机制本身就是一种有缺陷防御方法,因为一旦密码被盗,应立即采取缓解措施,而不是按照设定到期策略等待它过期。
此外,即将被删除策略“只是防止密码(或哈希)在其有效期间内被盗概率,并且将被未经授权实体使用。”
正如Microsoft在windows 10版1903配置基线设置草稿中进一步解释那样:
定期密码到期是一个古老,过时缓解非常低价值,我们认为我们基线不能强制执行任何具体价值。通过从基线中删除它而不是推荐特定值或没有到期,组织可以选择最适合其感知需求任何内容,而不会违反我们指导。与此同时,我们必须重申,我们强烈建议采取其他保护措施,即使这些措施不能在我们基线中表达。
删除密码过期策略而不添加其他面向密码安全配置并不会直接导致安全性降低,相反,它只是证明安全意识组织需要实施额外措施来强制执行其用户'安全。
正如微软进一步详细说明那样,“为了避免不可避免误解,我们在这里只讨论删除密码过期策略 - 我们不建议更改最小密码长度,历史记录或复杂性要求。”
安全配置基线设置更多更改
刚刚发布安全基线草案还附带了删除默认情况下禁用内置Administrator和Guest帐户强制执行提议。
这将允许管理员根据需要启用这两个帐户,但删除此策略不会自动意味着默认情况下将启用帐户。
Microsoft还在windows 10v1903和Windows Server v1903草案基线中添加了许多其他更改,并且还在考虑其他一些修改:
--启用新“启用svchost.exe缓解选项”策略,该策略对svchost.exe中托管Windows服务实施更严格安全性,包括由svchost.exe加载所有二进制文件必须由Microsoft签名,并且不允许动态生成代码。请特别注意这个,因为它可能会导致尝试使用svchost.exe主机进程第三方代码兼容性问题,包括第三方智能卡插件。
--配置新应用程序隐私设置,“在系统锁定时让Windows应用程序使用语音激活”,以便在系统锁定时用户无法使用语音与应用程序进行交互。
--禁用多播名称解析(LLMNR)以缓解服务器欺骗威胁。
--将NetBT NodeType限制为P节点,禁止使用广播注册或解析名称,以减轻服务器欺骗威胁。我们在自定义“MS安全指南”ADMX中添加了一个设置,以便通过组策略管理此配置设置。
--通过为Kerberos身份验证服务添加建议审核设置来更正域控制器基准中疏忽。
--删除需要定期更改密码密码过期策略。
--删除特定BitLocker驱动器加密方法和密码强度设置。基线一直需要最强BitLocker加密。我们正在删除该项目有几个原因。默认值是128位加密,我们加密专家告诉我们,在可预见未来,它没有被破坏危险。在某些硬件上,可能会出现明显性能下降,从128位到256位。最后,许多设备(如Microsoft Surface行中设备)默认打开BitLocker并使用默认算法。将那些转换为使用256位需要首先解密卷然后重新加密,这会产生临时安全风险以及用户影响。
--删除文件资源管理器“关闭资源管理器数据执行保护”和“关闭损坏时堆终止”设置,因为事实证明它们只是强制执行默认行为
windows 10v1903安全基准草案可从此处下载,包括组策略对象(GPO)备份和报告,将设置应用于本地GPO脚本以及策略分析器规则文件。
通过此草稿版本,Redmond还为管理员提供了详细记录windows 10版本1903和Windows Server版本1903所有安全设置和组策略电子表格,以及Microsoft为管理良好企业系统设置Microsoft建议配置“, 以及Policy Analyzer为每个安全基准规则文件。
