Để nhằm mục đích tăng cường bảo mật, một số hệ thống hiện nay buộc người dùng phải thay đổi mật khẩu sau mỗi 30 hoặc 60 ngày.
Sau khi bỏ chính sách hết hạn mật khẩu, việc bảo mật sẽ được thay thế bởi các tổ chức có kinh nghiệm bảo mật mật khẩu hiện đại và tốt hơn như xác thực đa yếu tố, phát hiện các cuộc tấn công đoán mật khẩu, phát hiện nhật ký bất thường và thực thi danh sách mật khẩu bị cấm (chẳng hạn như bảo vệ mật khẩu của Azure AD hiện có sẵn trong bản xem trước công khai).
Chính sách hết hạn mật khẩu là một biên pháp giảm thiểu lỗi thời
Aaron Margosis tại Microsoft tuyên bố rằng cơ chế hết hạn mật khẩu yêu cầu thay đổi mật khẩu định kỳ, tự bản thân nó là một phương pháp bảo vệ thiếu sót, vì một khi mật khẩu bị đánh cắp, các biện pháp giảm thiểu phải được thực hiện ngay lập tức thay vì chờ hết hạn theo chính sách hết hạn.
Ngoài ra, các chính sách sẽ sớm bị xóa là "bảo vệ khả năng mật khẩu (hoặc hàm băm) sẽ bị đánh cắp trong khoảng thời gian hiệu lực của nó bởi một thực thể trái phép".
Việc loại bỏ các chính sách hết hạn mật khẩu mà không cần thêm các cấu hình bảo mật hướng mật khẩu khác, không trực tiếp làm giảm sự bảo mật mà thay vào đó, nó chỉ đơn giản là bằng chứng cho thấy các tổ chức có ý thức bảo mật cần thực hiện các biện pháp bổ sung để thực thi bảo vệ người dùng của họ.
Microsoft cũng giải thích chi tiết hơn: "để cố gắng tránh những hiểu lầm không thể tránh khỏi, chúng tôi chỉ nói ở đây về việc xóa các chính sách hết hạn mật khẩu - chúng tôi không đề xuất thay đổi yêu cầu về độ dài, lịch sử hoặc độ phức tạp của mật khẩu tối thiểu".
Nhiều thay đổi hơn đối với cài đặt cấu hình cơ sở bảo mật
Dự thảo cơ sở bảo mật vừa được công bố cũng đi kèm với đề xuất loại bỏ việc thực thi các tài khoản tích hợp Quản trị viên và Khách (Administrator and Guest accounts), bị tắt theo mặc định.
Điều này sẽ cho phép quản trị viên kích hoạt hai tài khoản khi cần, nhưng việc xóa chính sách này sẽ không tự động, có nghĩa là các tài khoản sẽ được bật theo mặc định.
Microsoft cũng đã thêm một số thay đổi khác vào dự thảo cơ sở Windows 10 v1903 và Windows Server v1903 và một số sửa đổi bổ sung cũng đang được xem xét:
- Kích hoạt chính sách mới: “Enable svchost.exe mitigation options” (Tùy chọn giảm thiểu Svchost.exe), thực thi bảo mật nghiêm ngặt hơn đối với các dịch vụ Windows được lưu trữ trong svchost.exe, bao gồm tất cả các tệp nhị phân được tải bởi svchost.exe phải được ký bởi Microsoft và mã được tạo động sẽ không được phép. Svchost.exe là một tập tin thực thi nhỏ nằm trong thư mục System32 của Windows, nó đóng vai trò quan trọng trong việc giữ hệ thống và các dịch vụ chạy trên nền Windows được ổn định. Người dùng nên đặc biệt chú ý đến điều này vì nó có thể gây ra sự cố tương thích với mã của bên thứ ba cố gắng sử dụng quy trình lưu trữ svchost.exe, bao gồm các plugin thẻ thông minh của bên thứ ba.
- Định cấu hình cài đặt Bảo mật ứng dụng mới: “Let Windows apps activate with voice while the system is locked” (Hãy để các ứng dụng Windows kích hoạt bằng giọng nói trong khi hệ thống bị khóa), vì vậy người dùng không thể tương tác với các ứng dụng bằng lời nói trong khi hệ thống bị khóa.
- Vô hiệu hóa độ phân giải phát đa hướng (LLMNR) để giảm thiểu các mối đe dọa máy chủ giả mạo.
- Hạn chế NetBT NodeType đến P - node, không cho phép việc sử dụng phát sóng để đăng ký, cũng để giảm thiểu các mối đe dọa máy chủ giả mạo. Google đã thêm một cài đặt vào “MS Security Guide” (Hướng dẫn bảo mật MS) tùy chỉnh của ADMX để cho phép quản lý cài đặt cấu hình này thông qua Chính sách nhóm.
- Sửa lỗi giám sát trong cơ sở của Domain Controller (Bộ điều khiển miền) bằng cách thêm các cài đặt kiểm tra được đề xuất cho dịch vụ xác thực Kerberos.
- Bỏ các chính sách hết hạn mật khẩu yêu cầu thay đổi mật khẩu định kỳ.
- Bỏ phương thức mã hóa ổ đĩa BitLocker cụ thể và cài đặt cường độ mật mã. Cơ sở đã yêu cầu mã hóa BitLocker mạnh nhất hiện có. Google đang loại bỏ mục đó vì một vài lý do. Mặc định là mã hóa 128 bit và các chuyên gia về tiền điện tử Google cho rằng không có nguy cơ nào của việc hệ thống bị phá vỡ trong tương lai gần. Trên một số phần cứng có thể có sự suy giảm hiệu năng đáng chú ý khi chuyển từ phiên bản 128bit lên phiên bản 256bit. Và cuối cùng, nhiều thiết bị như dòng Microsoft Surface bật BitLocker theo mặc định và sử dụng các thuật toán mặc định. Việc chuyển đổi những thiết bị đó sang sử dụng 256-bit đòi hỏi trước tiên phải giải mã các ổ đĩa và sau đó mã hóa lại, điều này tạo ra sự phơi nhiễm bảo mật tạm thời cũng như tác động đến người dùng.
- Bỏ tập tin Explorer “Turn off Data Execution Prevention for Explorer” (Tắt chức năng ngăn chặn thực thi dữ liệu cho Explorer) và cài đặt “Turn off heap termination on corruption” (Tắt chấm dứt đối với sự sai lệch), vì chúng đơn thuần chỉ thực thi hành vi mặc định.
Với bản phát hành dự thảo này, Redmond cũng cung cấp cho quản trị viên tài liệu chi tiết tất cả các cài đặt bảo mật và chính sách nhóm cho Windows 10 phiên bản 1903 và Windows Server phiên bản 1903 "cùng với cấu hình được Microsoft khuyên dùng cho các hệ thống doanh nghiệp được quản lý tốt", như cũng như các tệp quy tắc phân tích chính sách cho từng cơ sở bảo mật.
