微軟在Windows 10 1903安全建議中剔除定期變更密碼的要求
今日,微軟在安全指南博客上發表了一篇新文章,對Windows 10 1903和Windows Server 1903中引入的“安全配置基線設置草案”進行了解釋。在新版組策略中,最新草案將迎來一些重大變化,尤其是不再強制要求定期更換密碼。微軟表示,這些策略已經古老、過時、且緩解價值極低。
(截圖來自:MS Security Guidance Blog,via OnMSFT)
即便如此,微軟還是在博客文章匯總強調,他們不會降低對密碼長度、歷史和復雜性的要求。
定期更換密碼的操作,只能在一段時間內緩解登陸憑證被盜、且被未經授權的實體使用的概率。
如果密碼永遠不會失竊,那就沒有設置過期時間的必要。如有證據表明密碼已失竊,您可能會立即採取行動,而不是等待到期了再尋找解決方案。
需要重申的是,我們強烈建議部署其它形式的保護措施,即使它們未在我司的’安全配置基線設置草案’中提及。
Azure AD 密碼保護和多因素身份驗證,將是保障登陸憑證安全的更佳選擇。此外,微軟還計劃剔除“默認禁用訪客和管理員賬戶”的要求。
需要指出的是,從安全指南中改掉這幾項強制性要求,並不意味著我們建議所有客戶都啟用這些賬戶。只是對於管理員來說,他們可以根據實際需求而作出變通。
最後,指南中的建議僅供參考,感興趣的朋友可以到官網下載查看和參與討論。