微软发布了有关windows 10 v1903(19h1)及windows server v1903的配置基线设置草稿版本,同时透露了从windows 10五月2019更新起取消密码过期策略的计划。
此举旨在用更为先进且有效的密码安全手段取代传统的密码到期设置,例如多因素身份验证、检测密码猜测攻击、识别异常登录尝试以及禁止使用常见密码列表(例如Azure AD当前提供的密码保护功能正处于公开预览阶段)。
尽管如此,微软强调,“虽然我们推荐这些替代方案,但我们的安全配置基线无法体现或强制执行此类标准,因为这些基线基于Windows内置的组策略设置,并且不能涵盖客户特定的数值。”
早在2016年,美国国家标准与技术研究院(NIST)就曾建议政府部门移除密码过期策略,并仅在确认存在欺诈行为后才强制要求更换密码。根据“特殊出版物800-63-3:数字认证指南”的描述,“验证者不应因时间推移而随意变更记忆的秘密(例如定期)。然而,若有证据显示存在泄露情况,验证员应强制更改认证。”
密码过期策略被认为是一种过时且价值较低的防护方式。微软的Aaron Margosis提到,一旦密码被盗,应立刻采取行动,而非依赖预定的过期周期。此外,即将被淘汰的策略主要目的是降低在有效期内密码(或哈希值)被盗并被未授权实体利用的可能性。
正如微软在Windows 10 v1903配置基线设置草稿中进一步阐述的那样:“定期密码过期是一种古老且效率低下的缓解措施,我们认为我们的基线无法强制执行这种价值。通过从基线中移除它,而不是推荐特定值或无期限,组织可以依据自身需求选择最合适的内容,同时也不会违背我们的指引。与此同时,我们再次强调,我们强烈建议采用其他保护措施,即便这些措施无法在我们的基线中体现。”
移除密码过期策略而不增加其他密码相关的安全配置,并不会直接削弱安全性,而是表明具备安全意识的组织需自行实施额外措施来约束用户的行为。
微软还补充道,“为了避免不必要的误解,这里仅讨论移除密码过期策略——我们并未建议改变最小密码长度、历史记录或复杂度的要求。”
新发布的安全基线草案还包括若干其他调整提案:
建议启用“启用svchost.exe缓解选项”策略,该策略对svchost.exe中托管的服务施加更严格的安全控制,包括所有由svchost.exe加载的二进制文件必须由微软签名,且不允许动态生成代码。需要注意的是,这可能引发与试图利用svchost.exe主机进程的第三方代码兼容性问题,包括第三方智能卡插件。
配置新的应用隐私设置,“在系统锁定时允许Windows应用通过语音激活”,以确保在系统锁定状态下用户无法通过语音与应用互动。
禁用多播名称解析(LLMNR),以减轻服务器欺骗风险。
将NetBT NodeType限制为P节点,禁止广播注册或解析名称,同样是为了减少服务器欺骗风险。我们已在定制的“MS安全指南”ADMX中加入一个设置,可通过组策略管理这一配置。
在域控制器基准中纠正遗漏的Kerberos身份验证服务的建议审核设置。
移除要求定期更改密码的密码过期策略。
移除特定的BitLocker驱动器加密方法和密码强度设置。基线始终要求最强大的BitLocker加密。我们之所以这样做有多方面原因:默认值为128位加密,我们的加密专家认为在未来一段时间内它不会受到破坏;在某些硬件上
,从128位升级到256位可能会显著降低性能;并且许多设备(如Surface系列)默认开启BitLocker并使用默认算法,将其转换为使用256位需要先解密再重新加密,这会带来暂时的安全隐患以及用户体验影响。
移除文件资源管理器中的“关闭资源管理器的数据执行保护”和“关闭损坏时的堆终止”设置,因为这些设置实际上只是强制执行默认行为。
Windows 10 v1903安全基准草案可以从指定位置下载,其中包括组策略对象(GPO)备份和报告、用于将设置应用于本地GPO的脚本以及策略分析器规则文件。
通过此草稿版本,微软也为管理员提供了详细记录Windows 10版本1903和Windows Server版本1903所有安全设置和组策略的电子表格,以及Microsoft为管理良好的企业系统设置的Microsoft建议配置,以及Policy Analyzer为每个安全基准规则文件提供的支持工具。