如何删除Win10 1903版本中的密码过期策略?

访客3年前黑客文章801

Microsoft宣布了windows 10v1903(19H1)和Windows Server v1903的配置基线设置草稿版本,以及从windows 10May 2019更新开始删除密码到期策略的意图。

删除后,预设密码到期设置应由具有更现代和更好的密码安全实践的组织替换,例如多因素身份验证,检测密码猜测攻击,检测异常登录尝试以及禁止密码列表的实施 (例如Azure AD的密码保护目前在公共预览中可用)。

但是,正如Redmond进一步解释的那样,“虽然我们建议使用这些替代方案,但我们建议的安全配置基线无法表达或强制执行这些基准,这些基线构建于Windows的内置组策略设置之上,并且不能包含客户特定的值。”

早在2016年,美国国家标准与技术研究院(NIST)也建议 *** 机构删除密码过期策略,并仅在发现欺诈活动后才建议强制更改密码。

正如“特殊出版物800-63-3:数字认证指南”中所详述的那样,“验证者不应该要求记忆秘密被任意改变(例如,定期)。但是,如果有证据表明存在妥协,核查员应该强制改变。认证“。

密码过期策略是一种过时的缓解措施

微软的Aaron Margosis指出,需要定期更改密码的密码到期机制本身就是一种有缺陷的防御 *** ,因为一旦密码被盗,应立即采取缓解措施,而不是按照设定的到期策略等待它过期。

此外,即将被删除的策略“只是防止密码(或哈希)在其有效期间内被盗的概率,并且将被未经授权的实体使用。”

正如Microsoft在windows 10版1903配置基线设置的草稿中进一步解释的那样:

定期密码到期是一个古老的,过时的缓解非常低的价值,我们认为我们的基线不能强制执行任何具体的价值。通过从基线中删除它而不是推荐特定值或没有到期,组织可以选择最适合其感知需求的任何内容,而不会违反我们的指导。与此同时,我们必须重申,我们强烈建议采取其他保护措施,即使这些措施不能在我们的基线中表达。

删除密码过期策略而不添加其他面向密码的安全配置并不会直接导致安全性降低,相反,它只是证明安全意识组织需要实施额外措施来强制执行其用户'安全。

正如微软进一步详细说明的那样,“为了避免不可避免的误解,我们在这里只讨论删除密码过期策略 – 我们不建议更改最小密码长度,历史记录或复杂性的要求。”

安全配置基线设置的更多更改

刚刚发布的安全基线草案还附带了删除默认情况下禁用的内置Administrator和Guest帐户强制执行的提议。

这将允许管理员根据需要启用这两个帐户,但删除此策略不会自动意味着默认情况下将启用帐户。

Microsoft还在windows 10v1903和Windows Server v1903草案基线中添加了许多其他更改,并且还在考虑其他一些修改:

–启用新的“启用svchost.exe缓解选项”策略,该策略对svchost.exe中托管的Windows服务实施更严格的安全性,包括由svchost.exe加载的所有二进制文件必须由Microsoft签名,并且不允许动态生成的代码。请特别注意这个,因为它可能会导致尝试使用svchost.exe主机进程的第三方代码的兼容性问题,包括第三方智能卡插件。

–配置新的应用程序隐私设置,“在系统锁定时让Windows应用程序使用语音激活”,以便在系统锁定时用户无法使用语音与应用程序进行交互。

–禁用多播名称解析(LLMNR)以缓解服务器欺骗威胁。

–将Net *** NodeType限制为P节点,禁止使用广播注册或解析名称,以减轻服务器欺骗威胁。我们在自定义“MS安全指南”ADMX中添加了一个设置,以便通过组策略管理此配置设置。

–通过为Kerberos身份验证服务添加建议的审核设置来更正域控制器基准中的疏忽。

–删除需要定期更改密码的密码过期策略。

–删除特定的BitLocker驱动器加密 *** 和密码强度设置。基线一直需要最强的BitLocker加密。我们正在删除该项目有几个原因。默认值是128位加密,我们的加密专家告诉我们,在可预见的未来,它没有被破坏的危险。在某些硬件上,可能会出现明显的性能下降,从128位到256位。最后,许多设备(如Microsoft Surface行中的设备)默认打开BitLocker并使用默认算法。将那些转换为使用256位需要首先解密卷然后重新加密,这会产生临时安全风险以及用户影响。

–删除文件资源管理器“关闭资源管理器的数据执行保护”和“关闭损坏时的堆终止”设置,因为事实证明它们只是强制执行默认行为

windows 10v1903安全基准草案可从此处下载,包括组策略对象(GPO)备份和报告,将设置应用于本地GPO的脚本以及策略分析器规则文件。

通过此草稿版本,Redmond还为管理员提供了详细记录windows 10版本1903和Windows Server版本1903的所有安全设置和组策略的电子表格,以及Microsoft为管理良好的企业系统设置的Microsoft建议配置“, 以及Policy Analyzer为每个安全基准规则文件。

相关文章

如何查看女朋友的微信聊天记录不被她发现

给宝宝洗澡可是一项大工程,大到洗澡盆,小到沐浴球都需要妈妈们的精挑细选,毕竟宝宝的皮肤很娇嫩,那么最适合宝宝的沐浴球是什么牌子的呢,如何给宝宝挑选沐浴球,下面小编就来说说宝宝洗澡小工具,沐浴球的挑选。...

找黑客破解银行卡密码,网站后台黑客提取

一、破解银行卡密码怎么找黑客 1、接单网站有些人也是黑客,比如电子和音乐,你可以在任何更高水平的科学和艺术中找到它。破解银行卡密码各大教程大多数黑客痴迷于计算机,只要他们愿意非法闯入一些敏感的信息限制...

皮皮狗沐浴露安全吗

由于孩子们抵抗力弱,沐浴露在内的许多洗护产品都与我们有别,要给他们准备专属的沐浴露。那么皮皮狗沐浴露安全吗?下面跟随小编进行了解一下。  ...

2020印度吉三代多少钱一盒?进口吉三代价格是多

康季泰国际医疗联系微信:tjk732 进口吉三代(进口丙通沙)和印度吉三代(印度丙通沙)是既有区别也有很多相同点的吉三代(丙通沙)的两个版本,其中进口吉三代和印度吉三代最大的不同应该就是在价格上的不同...

黑客网站找人_查个人信息的黑客网站

巴西说什么语言(说说巴西买家的那些事儿) 热力的桑巴,激情的足球,美味的烤肉,富饶的热带雨林,每一个曾经来过巴西的人都不禁感叹"上帝是巴西人"。不过,近两年来,当我跟一些国内供应商提到巴西买家的时候,...

黑客破解微信聊天记录,自己在家就可以恢复的

黑客破解微信聊天记录,自己在家就可以恢复的

微信中的聊天记录如果不小心误删了还可以找回来吗?很多小伙伴估计都会有这样的疑问,其实手机中的数据在删除之后并不会立刻清空,只要通过合适的方法就可以完成数据的找回,今天就给大家带来恢复聊天记录的两种方法...