В Windows 10 версии 1903 не используются политики истечения срока действия пароля

Windows 10 поддерживает два типа учетных записей. Одна из них — это классическая локальная учетная запись, которая была доступна во всех предыдущих версиях Windows, другая — это современная учетная запись Microsoft, которая связана с облачными службами компании. До Windows 10 версии 1903 у Microsoft были настраиваемые политики истечения срока действия пароля для повышения безопасности, начиная с самых ранних версий Windows NT. Это изменилось.

Введите свой пароль

Короче говоря, у Microsoft есть следующие аргументы против постоянной смены пароля.

  • Если пароль был взломан, его нужно сразу сменить.
  • Если пароль не был взломан, нет причин его менять.
  • Периодическая смена пароля может заставить пользователей забыть свой новый пароль или заставить их записать его где-нибудь, где его можно будет легко найти.

В официальном сообщении блога говорится следующее.

Почему мы удаляем политику истечения срока действия пароля?

Во-первых, чтобы избежать неизбежных недоразумений, мы говорим здесь только об удалении политик истечения срока действия паролей — мы не предлагаем изменять требования к минимальной длине, истории или сложности пароля.

Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение срока его действия и будет использован неавторизованным лицом. Если пароль никогда не был украден, срок его действия не требуется. И если у вас есть доказательства того, что пароль был украден, вы, вероятно, должны действовать немедленно, а не ждать истечения срока, чтобы решить проблему.

Если известно, что пароль может быть украден, сколько дней является приемлемым периодом времени, чтобы позволить злоумышленнику использовать этот украденный пароль? По умолчанию Windows составляет 42 дня. Разве это не кажется смехотворно долгим? Что ж, это так, и все же наши текущие базовые показатели говорят о 60 днях — а раньше говорили о 90 днях — потому что частое принудительное истечение срока создает свои собственные проблемы. И если не факт, что пароли будут украдены, вы получите эти проблемы без всякой пользы. Кроме того, если ваши пользователи из тех, кто желает отвечать на опросы на парковке, которые обменивают моноблок на свои пароли, никакая политика истечения срока действия пароля вам не поможет.

Наши базовые показатели предназначены для использования с минимальными изменениями, если таковые имеются, большинством хорошо управляемых, заботящихся о безопасности предприятий. Они также предназначены для использования в качестве руководства для аудиторов. Итак, каков должен быть рекомендуемый срок действия? Если организация успешно внедрила списки запрещенных паролей, многофакторную аутентификацию, обнаружение атак с подборами пароля и обнаружение аномальных попыток входа в систему, нужно ли им периодическое истечение срока действия пароля? И если они не внедрили современные средства защиты от угроз, какую степень защиты они действительно получат от истечения срока действия пароля?

Результаты сканирования на соответствие базовому уровню обычно измеряются тем, сколько настроек не соответствует требованиям: «Сколько красного на диаграмме?» Во время аудита организации нередко считают, что показатели соответствия более важны, чем реальная безопасность. Если базовый план рекомендует 60 дней, а организация с расширенными средствами защиты выберет 365 дней — или вообще без истечения срока — они будут без необходимости участвовать в аудите и могут быть вынуждены придерживаться 60-дневной рекомендации.

Периодическое истечение срока действия пароля — это древнее и устаревшее средство защиты, имеющее очень низкую ценность, и мы не считаем, что для наших базовых показателей целесообразно применять какое-либо конкретное значение. Удалив его из нашей базовой линии, вместо того, чтобы рекомендовать конкретное значение или отсутствие срока действия, организации могут выбрать то, что лучше всего соответствует их предполагаемым потребностям, не противореча нашим рекомендациям. В то же время мы должны повторить, что настоятельно рекомендуем дополнительные меры защиты, даже если они не могут быть выражены в наших базовых показателях.

Таким образом, политики истечения срока действия паролей устарели, начиная с Windows 10 версии 1903. Это изменение не влияет на другие политики паролей, включая политики длины и сложности.

Вы можете просмотреть изменения здесь: Базовый план безопасности (ПРОЕКТ) для Windows 10 v1903 и Windows Server v1903

См. Следующие статьи:

  • Сброс пароля Windows 10 без использования сторонних инструментов
  • Все способы изменить пароль пользователя в Windows 10
  • Как использовать учетные записи без пароля для входа в Windows 10
  • Запретить Windows 10 синхронизировать пароли между устройствами
  • Запретить пользователю менять пароль в Windows 10
  • Как удалить пароль пользователя в Windows 10

Добавить комментарий

Ваш адрес email не будет опубликован.