微软在Windows10及Windows Server的最新安全基准设定草案中,移除了定期更改密码的过期政策,认为这是过时的安全做法。企业可选择更适合的安全管理措施,但仍需遵循复杂的密码规则和采用额外防护措施。
每三个月变更一次密码的梦魇可望不再!微软公布Windows 10 桌机版及Windows Server 1903版Windows 10 1903(即19H1)及Windows Server 1903版安全基准设定草案,其中最值得注意是将拿掉要求定期变更密码的密码过期政策。密码安全问题由来已久,因为当使用者被要求或强迫想出一组很难记忆的密码时,他们通常会写下来而被别人看到,而被要求变更密码时,用户也只会做出很小且可预测的变更,要不然就是忘记新密码。微软说,定期变更密码唯一的好处是,当密码或相关的哈希被偷时,能侦测或阻止非法存取行为。但如果密码都不会被偷,就没有必要设定有效限期。而且一旦密码被偷,正常用户会立即变更密码,而不会傻傻等他人来存取,或祈祷密码有效期限发挥保护。
微软承认,定期使密码过期是古早且过时的安全作法,效益极低,微软现在不认为还有必要在安全基准要求中保留这条政策。而在移除密码有效期限后,企业可以选最适合他们的安全管理措施。但微软澄清这次变更是拿掉密码过期政策,而不是鼓励企业拿掉密码长度限制、防止重复使用密码、或降低密码复杂性。微软重申,他们仍强烈建议企业采取额外的防护措施,像是实施禁用密码列表(如123456、password)、多因素验证、导入密码猜测攻击或异常登入的侦测技术等,只是这些作法并不会加入到Windows群组政策(Group Policy)内建的建议安全组态基准中。
此外,这次草案中,微软也正在考虑把强制预设关闭管理员(Administrator)及访客(Guest)账号的措施移除。Windows 也不会预设启用,管理员可视需求手动启用两者。微软也欢迎用户回馈意见。其他方面,本草案还加入BitLocker磁盘加密法、域控制器安全基准、档案总管(File Explorer)、App隐私设定、svchost.exe执行的服务等安全相关的变更。
扫一扫
9369
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
