微软发布v1903安全基线草案,考虑放弃60天强制修改密码

2019-04-27 02:41:45  |  来源:pc玩家

  微软在前些年公布了一项安全基线配置,其中要求 60 天强制更新密码。但在最新的 Windows 10 version 1903 和 Windows Server version 1903 的安全基线配置草案中,这一要求被放弃了。密码过期政策的用意是好的,但在现实中,它却会导致系统更不安全,因为大部分用户不喜欢每60天就要记一个新密码,因此他们通常会选择一个容易记住的密码,然后在后面添加 1,2,3 或 4,这样就生成了所谓的新密码。在早期,这种策略可能是一个明智的选择,因为当时计算设备的性能还比较弱,破解密码相对较慢。但是随着彩虹表、GPU加速和云计算的发展,暴力破解密码变得非常迅速。最好的选择是使用长密码,最好配合多因素身份验证,用基于时间的代码或类似的东西来增强系统的安全性。

  微软也取消了强制使用256位磁盘加密,有些设备在128位和256位加密之间有明显的性能差异,因此不希望使用256位加密,如Surface,就采用128位加密。遵守策略意味着频繁解密磁盘,然后重新加密。微软认为128位全磁盘加密在大多数情况下已经足够,强制要求使用256位对提高安全性并没有什么帮助,还会损害性能。

  在新的基线中,微软还考虑放弃禁用来宾帐户和默认管理员帐户的长期要求。默认情况下,Windows 10已经禁用了来宾帐户,这意味着如果启用了该帐户,这是有原因的,不应该在审计中被发现。

  默认情况下,内置管理员帐户在Windows 10也是禁用的,操作系统会在安装过程中创建一个独立的管理员特权帐户。但是,内置帐户具有特权:它不受帐户锁定策略的限制,并且不能从管理员组中删除。