当前位置：主页 > 雨林木风Win10系统教程 > win10专业版将取消60天密码过期策略以支持更好的安全实践

win10专业版将取消60天密码过期策略以支持更好的安全实践

本地下载地址

Microsoft已发布Win10 v1903（19H1）和Windows Server v1903的基准设置。发布文档提到操作系统将从Win10 May 2019更新开始删除密码到期。

微软联合创始人比尔盖茨近20年来一直在预测密码的死亡。他们今天仍然和我们在一起，但现在该公司已经决定放弃一个愚蠢的规则，这些规则首先帮助使密码成为问题：强制定期更改密码。

该公司计划在Windows 10 1903或5月2019更新以及Windows Server 1903的安全配置基准设置中删除过期密码策略。

正如Margosis所解释的那样，定期强制用户选择新密码只是针对有效密码或密码哈希被未经授权的人员窃取和使用。虽然该政策没有提供太多保护，但它确实会让密码成为一个更大问题。

当人们被迫更改密码时，他们往往会对现有密码进行小规模和可预测的更改，并且/或者忘记他们的新密码。当密码或其相应的哈希被盗时，最多可能很难检测或限制他们未经授权的使用。“

微软的提议是在两年前美国国家标准与技术研究院(NIST)对其密码规则指南进行的全面改革之后提出的，该指南删除了定期密码更改和密码复杂性要求。

该更新还建议组织检查新密码不是数据泄露中常见的新密码，例如'123456'或'qwerty' - 两个在英国国家网络安全中心频繁出现的密码泄露分析中出现以创建其列表最糟糕的100,000密码。

Microsoft并未更改其对最小密码长度，历史记录或复杂性的要求。它还建议使用Azure Active Directory密码保护工具等工具，管理员可以使用这些工具禁用常用密码，例如“密码”及其变体，如“p @ $$ word”。

Margosis详细说明了现有基准中的几个矛盾，这些矛盾使密码过期策略完全无用。目前，Windows建议42天，但现有基准是60天，过去是90天。

“如果密码很可能被窃取，那么继续允许小偷使用该被盗密码需要多长时间?Windows默认为42天。这看起来不是很荒谬很久?” 问Margosis。

更新的基线可能会对使用Microsoft安全基准的人员进行审核的组织产生积极影响。

例如，组织可能已实施禁用密码列表，双因素身份验证和密码攻击检测，但如果发现它们不符合Microsoft的60天建议，则可能会在审核中受到处罚。

在审计过程中，组织将合规数量视为比现实世界的安全更重要，这一点并不罕见，”Margosis解释道。

如果一个基线建议60天，并且一个拥有高级保护措施的组织选择365天 - 或者根本没有到期 - 他们将在不必要的审计中受到批评，并可能被迫遵守60天的建议。”

尽管中断了定期密码过期，但Microsoft尚未添加最高级的面向密码的安全配置。很高兴看到公司对情况进行评估并实施更严格的安全措施。

最新文档还讨论了删除默认情况下当前正在禁用的内置管理员和来宾帐户的强制执行的建议。此功能允许管理员在需要时启用两个帐户。

谈到安全性，Microsoft还启用了新的“启用svchost.exe缓解选项”策略，该策略旨在更严格地执行svchost.exe上托管的Windows服务。
当然，密码仍然需要满足最小长度的要求，且足够复杂，不容易被猜到，以前没有使用过，并安全存储。

个别组织可能仍然会强制执行它们自己的密码过期策略，但似乎每隔几个月就需要更新一个新密码的策略似乎对大多数人来说是一件麻烦事，提高用户密码安全意识，一个安全性强度更高的密码更被大多数人接受。