微软发布v1903安全基线草案，考虑放弃60天强制修改密码

  微软在前些年公布了一项安全基线配置，其中要求 60 天强制更新密码。但在最新的 Windows 10 version 1903 和 Windows Server version 1903 的安全基线配置草案中，这一要求被放弃了。密码过期政策的用意是好的，但在现实中，它却会导致系统更不安全，因为大部分用户不喜欢每60天就要记一个新密码，因此他们通常会选择一个容易记住的密码，然后在后面添加 1，2，3 或 4，这样就生成了所谓的新密码。在早期，这种策略可能是一个明智的选择，因为当时计算设备的性能还比较弱，破解密码相对较慢。但是随着彩虹表、GPU加速和云计算的发展，暴力破解密码变得非常迅速。最好的选择是使用长密码，最好配合多因素身份验证，用基于时间的代码或类似的东西来增强系统的安全性。

  微软也取消了强制使用256位磁盘加密，有些设备在128位和256位加密之间有明显的性能差异，因此不希望使用256位加密，如Surface，就采用128位加密。遵守策略意味着频繁解密磁盘，然后重新加密。微软认为128位全磁盘加密在大多数情况下已经足够，强制要求使用256位对提高安全性并没有什么帮助，还会损害性能。

  在新的基线中，微软还考虑放弃禁用来宾帐户和默认管理员帐户的长期要求。默认情况下，Windows 10已经禁用了来宾帐户，这意味着如果启用了该帐户，这是有原因的，不应该在审计中被发现。

  默认情况下，内置管理员帐户在Windows 10也是禁用的，操作系统会在安装过程中创建一个独立的管理员特权帐户。但是，内置帐户具有特权：它不受帐户锁定策略的限制，并且不能从管理员组中删除。