windows10密码过期,win10设置密码不过期
微软公布了windows 10v1903(19H1)和Windows Server v1903的配置基线设置草案版本,并打算从windows 10May 2019的更新中删除密码过期策略。
删除后,预设的密码过期设置应被更现代、更好的密码安全实践的组织所取代,如多因素认证、检测密码猜测攻击、检测异常登录尝试、禁止执行密码列表(如Azure AD的密码保护目前已在公开预览版中提供)。
然而,正如Redmond进一步解释的那样,“尽管我们建议使用这些替代方案,但我们建议的安全配置基线不能表达或实施这些基准。这些基准基于Windows内置的组策略设置,不能包含客户特定的值。"
早在2016年,美国国家标准与技术研究所(NIST)也建议政府机构删除密码过期政策,只建议在发现欺诈活动后强制更改密码。
如在“特殊出版物800-63-3:数字认证指南”中详细描述的,“验证者不应该要求存储器秘密被任意改变(例如,周期性地)。然而,如果有证据表明妥协,审计师应该强制改变。认证”。
访问:
微软官方Windows10 1903图像
密码过期策略是一种过时的缓解措施
微软的亚伦马戈西斯(Aaron Margosis)指出,要求定期更改密码的密码过期机制本身就是一种有缺陷的防御方法,因为一旦密码被盗,就应该立即采取缓解措施,而不是按照设定的过期策略等待其过期。
此外,要删除的策略“只是防止密码(或哈希)在其有效期内被窃取并被未经授权的实体使用的可能性。”
正如微软在windows 10版本1903的配置基线设置草案中进一步解释的那样:
定期密码到期是一个古老和过时的缓解非常低的价值,我们认为我们的基线不能强制任何具体的价值。通过从基线中删除它,而不是推荐一个特定的值或不过期,组织可以选择最适合他们感知的需求的值,而不会违反我们的指导。与此同时,我们必须重申,我们强烈推荐其他保护措施,即使它们不能在我们的基线中表达出来。
删除密码过期策略而不添加其他面向密码的安全配置不会直接导致安全性降低。相反,这只能证明注重安全的组织需要实施额外的措施来加强其用户的安全性。
正如微软进一步详细解释的那样,“为了避免不可避免的误解,我们在这里只讨论删除密码过期的策略——我们不建议更改最小密码长度、历史或复杂性的要求。”
安全配置基线设置的更多更改
刚刚发布的安全基线草案还建议删除默认情况下强制禁用的内置管理员和来宾帐户。
这将允许管理员根据需要启用这两个帐户,但是删除此策略并不自动意味着默认情况下将启用这两个帐户。
微软还在windows 10v1903和Windows Server v1903草案的基础上增加了许多其他更改,并且仍在考虑其他一些修改:
-启用新的“启用svchost.exe缓解选项”策略,该策略对托管在svchost.exe的Windows服务实施更严格的安全性,包括svchost.exe加载的所有二进制文件必须由微软签名,并且不允许动态生成代码。请特别注意这一点,因为这可能会导致尝试使用svchost.exe主机进程的第三方代码的兼容性问题,包括第三方智能卡插件。
-配置新的应用程序隐私设置,“让Windows应用程序在系统锁定时使用语音激活”,使用户在系统锁定时无法使用语音与应用程序交互。
-禁用多播名称解析(LLMNR)以减轻服务器欺骗威胁。
-将NetBT NodeType限制为P节点,并禁止使用广播来注册或解析名称,以减少服务器欺骗的威胁。我们在自定义的“MS安全指南”ADMX中添加了一个设置,以通过组策略管理此配置设置。
-通过为Kerberos身份验证服务添加建议的审核设置,更正域控制器基准中的疏忽。
-删除要求定期更改密码的密码过期策略。
-删除特定的BitLocker驱动器加密方法和密码强度设置。基线总是需要最强的BitLocker加密。我们删除这个项目有几个原因。默认值是128位加密,我们的加密专家告诉我们,在可预见的未来,它不会被破坏。在某些硬件上,从128位到256位,性能可能会显著下降。最后,很多设备(比如微软Surface line中的设备)默认打开BitLocker,使用默认算法。转换成使用256位的需要先解密卷再重新加密,会造成暂时的安全隐患和用户影响。
-删除文件资源管理器的“关闭资源管理器的数据执行保护”和“损坏时关闭堆终止”的设置,因为原来它们只是强制执行默认行为。
windows 10v1903的安全基准草案可以从这里下载,包括组策略对象(GPO)的备份和报告、将设置应用到本地GPO的脚本以及策略分析器规则文件。
通过这个草案版本,Redmond还为管理员提供了一个电子表格,详细列出了windows 10版本1903和Windows Server版本1903的所有安全设置和组策略,以及微软为管理良好的企业系统推荐的配置,以及每个安全基准规则的策略分析器文件。
以上介绍的是Win10 1903中删除密码过期策略的细节。不知道有没有人学过。如果你有同样的问题,请参考边肖介绍的方法。我希望你会喜欢它。很详细!更多教程信息请关注我们的网站~ ~ ~ ~
相关阅读:
Win10 1903年4月更新了哪些功能?
Win10 1903年4月版(Win10 1903)更新功能介绍及