Microsoft выпустила новейший шаблон безопасности для версии Windows (Windows 10 и Windows Server) 1903. Эти шаблоны содержат обновленные руководства и рекомендации относительно того, какие параметры следует или не следует настраивать для вашего ПК, присоединенного к домену. Шаблон безопасности на самом деле представляет собой просто набор отчетов, документов, резервных копий GPO и инструментов, которые объединены в один ZIP-файл. Они выпускаются с каждой новой версией ОС, что гарантирует их соответствие последним руководствам. Если вы используете компьютер, присоединенный к Azure AD, шаблоны также публикуются через портал администрирования MDM.
Одним из самых заметных изменений на этот раз является то, что Microsoft теперь вообще отменила максимальный срок действия пароля. Это означает, что по умолчанию пароли никогда не должны истекать естественным образом. 10 лет назад предложение такого изменения казалось немыслимым, но в последние несколько лет многие эксперты по безопасности, такие как Трой Хан, начали рекомендовать этот новый подход ( https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ ). Даже правительство Великобритании изменило свою рекомендацию, чтобы также не устанавливать срок действия пароля пользователя ( https://www.ncsc.gov.uk/collection/passwords ). Если вам интересно, логика этого изменения заключается в том, что пользователи, которые вынуждены регулярно менять пароли, по своей природе выбирают что-то, что меняется лишь незначительно, или просто хранят пароль в надежном месте, например, на листе бумаги. Это, конечно, не означает, что пользователям никогда не придется менять пароли, и важно, чтобы у вас были инструменты для выявления подозрительной активности с учетными записями. Поэтому при обнаружении вредоносных действий, таких как попытка подбора пароля или совпадение паролей с имеющимися в списках скомпрометированных паролей, пользователям следует предложить сменить пароль.
Также имеется ряд других незначительных изменений, которые для удобства обобщены в электронной таблице, содержащейся в zip-файле.
Даже если вы пока не планируете развертывать Windows 1903, новые рекомендации и настройки все равно могут применяться к вашим старым компьютерам и настройкам безопасности политики домена. Так что это обязательная загрузка для всех администраторов безопасности в вашей организации.