Microsoft actualiza Security Baseline: elimina la caducidad de la contraseña

Microsoft publicado un borrador de la línea de base de seguridad para Windows 10 versión 1903, la actualización de mayo de 2019 y Windows Server 2019 (v1903).

Si bien puede descargar el borrador y revisarlo palabra por palabra, también puede dirigirse al blog de Orientación de seguridad de Microsoft si solo está interesado en las cosas que cambiaron en comparación con las líneas de base de seguridad para versiones anteriores de Windows.



La publicación del blog destaca ocho cambios en particular, y al menos uno puede hacer que la vida de los usuarios de computadoras sea más conveniente. Microsoft eliminó las políticas de caducidad de contraseñas que requieren cambios frecuentes de contraseña de las líneas base de seguridad para Windows 10 versión 1903 y Windows Server 1903.

Trabajé en soporte de TI para una gran organización financiera alemana hace más de 15 años. Las políticas de seguridad se establecieron con estándares muy altos y una de las políticas más dolorosas fue la aplicación de cambios regulares de contraseña. No recuerdo el intervalo exacto, pero sucedió varias veces al año y las reglas dictaban que tenía que elegir una contraseña segura, no podía reutilizar ninguna de las partes de la contraseña existente y tenía que seguir ciertas pautas con respecto a la selección de la contraseña. .

maximum password age

Esto resultó en muchas solicitudes de soporte por parte de los empleados que no podían recordar sus contraseñas, y otros escribían sus nuevas contraseñas porque no las recordaban.



Microsoft explica la razón detrás de la eliminación de las políticas de caducidad de contraseñas en la publicación del blog. Microsoft menciona los mismos problemas que tuve cuando trabajaba en TI:

Cuando los humanos eligen sus propias contraseñas, con demasiada frecuencia son fáciles de adivinar o predecir. Cuando a los humanos se les asigna u obliga a crear contraseñas que son difíciles de recordar, con demasiada frecuencia las escriben donde otros puedan verlas. Cuando los seres humanos se ven obligados a cambiar sus contraseñas, con demasiada frecuencia realizarán una pequeña y predecible alteración en sus contraseñas existentes y / o olvidarán sus nuevas contraseñas.

Microsoft señala que las políticas de caducidad de contraseñas ayudan en un solo escenario: cuando las contraseñas se ven comprometidas. Si una contraseña no se ve comprometida, no es necesario cambiar las contraseñas con regularidad.

El período de tiempo predeterminado para el vencimiento de las contraseñas se estableció en 60 días y el predeterminado de Windows es de 42 días. Fueron 90 días en las líneas de base anteriores; eso es mucho tiempo y no es muy efectivo, ya que una contraseña comprometida no se puede cambiar durante varias semanas o incluso meses para que un atacante pueda usarla durante ese período.

La caducidad periódica de la contraseña es una mitigación antigua y obsoleta de muy bajo valor, y no creemos que valga la pena que nuestra línea de base aplique ningún valor específico.

Microsoft señala que otras prácticas de seguridad mejoran la seguridad de manera significativa aunque no estén en la línea de base. Microsoft menciona explícitamente la autenticación de dos factores, la supervisión de una actividad de inicio de sesión inusual o la aplicación de una lista negra de contraseñas.

Otros cambios que son destacables:

  • Retirar la desactivación forzosa del administrador de Windows integrado y cuenta de invitado.
  • Eliminación de métodos de cifrado de unidad BitLocker específicos y configuraciones de intensidad de cifrado.
  • Desactivación de la resolución de nombres de multidifusión.
  • Configuración de 'Permitir que las aplicaciones de Windows se activen con la voz mientras el sistema está bloqueado'.
  • Habilitar la política 'Habilitar opciones de mitigación de svchost.exe'.
  • Dejar caer el Explorador de archivos 'Desactivar la prevención de ejecución de datos para Explorer' y 'Desactivar la terminación del montón en caso de corrupción'.
  • Restringir el NetBT NodeType al nodo P, prohibir el uso de la transmisión para registrar o resolver nombres, también para mitigar las amenazas de suplantación de identidad del servidor.
  • Agregar la configuración de auditoría recomendada para el servicio de autenticación Kerberos.

Ahora tu: ¿Cuál es su opinión sobre las políticas de caducidad de contraseñas?