Microsoft อัปเดตพื้นฐานด้านความปลอดภัย: ลดการหมดอายุของรหัสผ่าน

• หมวดหมู่: ของ Windows

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

ไมโครซอฟท์ การตีพิมพ์ แบบร่างของพื้นฐานความปลอดภัยสำหรับ Windows 10 เวอร์ชัน 1903 การอัปเดตเดือนพฤษภาคม 2019 และ Windows Server 2019 (v1903)

ในขณะที่คุณสามารถดาวน์โหลดแบบร่างและอ่านทีละคำได้ แต่คุณสามารถไปที่บล็อก Microsoft Security Guidance ได้หากคุณสนใจสิ่งที่เปลี่ยนแปลงไปเมื่อเทียบกับพื้นฐานด้านความปลอดภัยสำหรับ Windows เวอร์ชันก่อนหน้า

บล็อกโพสต์เน้นการเปลี่ยนแปลงแปดประการโดยเฉพาะและอย่างน้อยหนึ่งอย่างอาจทำให้ชีวิตของผู้ใช้คอมพิวเตอร์สะดวกสบายขึ้น Microsoft ทิ้งนโยบายการหมดอายุของรหัสผ่านที่ต้องมีการเปลี่ยนรหัสผ่านบ่อยครั้งจากพื้นฐานความปลอดภัยสำหรับ Windows 10 เวอร์ชัน 1903 และ Windows Server 1903

ฉันทำงานด้านการสนับสนุนด้านไอทีให้กับองค์กรการเงินขนาดใหญ่ของเยอรมันเมื่อ 15 ปีก่อน นโยบายความปลอดภัยถูกกำหนดให้เป็นมาตรฐานที่สูงมากและหนึ่งในนโยบายที่เจ็บปวดที่สุดคือการบังคับเปลี่ยนรหัสผ่านเป็นประจำ ฉันจำช่วงเวลาที่แน่นอนไม่ได้ แต่มันเกิดขึ้นปีละหลายครั้งและมีกฎกำหนดว่าคุณต้องเลือกรหัสผ่านที่ปลอดภัยไม่สามารถใช้ส่วนใดส่วนหนึ่งของรหัสผ่านที่มีอยู่ซ้ำได้และต้องปฏิบัติตามหลักเกณฑ์บางประการเกี่ยวกับการเลือกรหัสผ่าน .

ส่งผลให้มีการร้องขอการสนับสนุนจำนวนมากจากพนักงานที่จำรหัสผ่านไม่ได้และคนอื่น ๆ ก็เขียนรหัสผ่านใหม่ของตนลงไปเพราะจำรหัสผ่านไม่ได้

Microsoft อธิบายเหตุผลเบื้องหลังการลดลงของนโยบายการหมดอายุของรหัสผ่านในบล็อกโพสต์ Microsoft กล่าวถึงปัญหาเดียวกันกับที่ฉันพบเมื่อฉันทำงานด้านไอที:

เมื่อมนุษย์เลือกรหัสผ่านของตนเองบ่อยครั้งที่พวกเขาคาดเดาหรือคาดเดาได้ง่าย เมื่อมนุษย์ได้รับมอบหมายหรือบังคับให้สร้างรหัสผ่านที่จำยากบ่อยเกินไปพวกเขาจะจดไว้ในที่ที่คนอื่นสามารถมองเห็นได้ เมื่อมนุษย์ถูกบังคับให้เปลี่ยนรหัสผ่านบ่อยเกินไปพวกเขาจะทำการเปลี่ยนแปลงเล็กน้อยและคาดเดาได้กับรหัสผ่านที่มีอยู่และ / หรือลืมรหัสผ่านใหม่

Microsoft ตั้งข้อสังเกตว่านโยบายการหมดอายุของรหัสผ่านช่วยในสถานการณ์เดียวเท่านั้น: เมื่อรหัสผ่านถูกบุกรุก หากรหัสผ่านไม่ถูกบุกรุกก็ไม่จำเป็นต้องเปลี่ยนรหัสผ่านเป็นประจำ

ระยะเวลาเริ่มต้นสำหรับการหมดอายุของรหัสผ่านถูกกำหนดไว้ที่ 60 วันและค่าเริ่มต้นของ Windows คือ 42 วัน 90 วันในเส้นฐานก่อนหน้านี้ ซึ่งเป็นเวลานานและไม่มีประสิทธิภาพมากนักเนื่องจากรหัสผ่านที่ถูกบุกรุกอาจไม่มีการเปลี่ยนแปลงเป็นเวลาหลายสัปดาห์หรือหลายเดือนเพื่อให้ผู้โจมตีสามารถใช้งานได้ในช่วงเวลานั้น

การหมดอายุของรหัสผ่านเป็นระยะเป็นการลดมูลค่าที่ต่ำมากและล้าสมัยและเราไม่เชื่อว่าจะคุ้มค่าสำหรับพื้นฐานของเราในการบังคับใช้ค่าใด ๆ

Microsoft ตั้งข้อสังเกตว่าแนวทางปฏิบัติด้านความปลอดภัยอื่น ๆ ช่วยเพิ่มความปลอดภัยได้อย่างมากแม้ว่าจะไม่อยู่ในเกณฑ์พื้นฐานก็ตาม การรับรองความถูกต้องด้วยสองปัจจัยการตรวจสอบกิจกรรมการเข้าสู่ระบบที่ผิดปกติหรือการบังคับใช้บัญชีดำรหัสผ่านถูกกล่าวถึงโดย Microsoft อย่างชัดเจน

การเปลี่ยนแปลงอื่น ๆ ที่น่าสังเกต:

• การยกเลิกการปิดใช้งานที่บังคับใช้ของไฟล์ ผู้ดูแลระบบ Windows ในตัว และบัญชีแขก
• การลดวิธีการเข้ารหัสไดรฟ์ BitLocker เฉพาะและการตั้งค่าความแรงของการเข้ารหัส
• การปิดใช้งานการแก้ปัญหาชื่อหลายผู้รับ
• การกำหนดค่า 'ให้แอป Windows เปิดใช้งานด้วยเสียงในขณะที่ระบบล็อกอยู่'
• การเปิดใช้นโยบาย 'Enable svchost.exe mitigation options'
• การทิ้ง File Explorer 'ปิดการป้องกันการดำเนินการข้อมูลสำหรับ Explorer' และ 'ปิดการยุติฮีปเมื่อเกิดความเสียหาย'
• การ จำกัด NetBT NodeType ไว้ที่ P-node การไม่อนุญาตให้ใช้การแพร่ภาพเพื่อลงทะเบียนหรือแก้ไขชื่อและเพื่อลดภัยคุกคามจากการปลอมแปลงเซิร์ฟเวอร์
• การเพิ่มการตั้งค่าการตรวจสอบที่แนะนำสำหรับบริการการตรวจสอบสิทธิ์ Kerberos

ตอนนี้คุณ : คุณใช้นโยบายการหมดอายุของรหัสผ่านอย่างไร