Көптеген АТ жүйелерінде парольдерді мерзімді түрде өзгертудің міндетті ережесі бар. Бұл қауіпсіздік жүйелерінің ең жек көретін және ең пайдасыз талабы болуы мүмкін. Кейбір пайдаланушылар соңғы нөмірді лайфхак ретінде өзгертеді.

Бұл тәжірибе көптеген қолайсыздықтар туғызды. Дегенмен, адамдар төтеп беруге мәжбүр болды, өйткені бұл қауіпсіздік үшін. Енді бұл кеңес мүлдем маңызды емес. 2019 жылдың мамырында тіпті Microsoft корпорациясы Windows 10 жүйесінің жеке және серверлік нұсқалары үшін қауіпсіздік талаптарының негізгі деңгейінен парольді мерзімді өзгерту талабын ақырында алып тастады: мұнда ресми блог мәлімдемесі Windows 10 v 1903 нұсқасына өзгертулер тізімімен (фразаға назар аударыңыз Құпия сөзді мерзімді өзгертуді талап ететін құпия сөздің жарамдылық мерзімінің аяқталу саясаттарын алып тастау). Ережелердің өзі және жүйе саясаты Windows 10 1903 нұсқасы және Windows Server 2019 қауіпсіздік базасы жинаққа кіреді Microsoft Security Compliance Toolkit 1.0.

Сіз бұл құжаттарды басшыларыңызға көрсетіп: «Заман өзгерді. Міндетті парольді өзгерту архаикалық, қазір ресми дерлік. Тіпті қауіпсіздік аудиті бұл талапты бұдан былай тексермейді (егер ол Windows компьютерлерін негізгі қорғаудың ресми ережелеріне негізделген болса).


Windows 10 v1809 жүйесіне арналған негізгі қауіпсіздік саясаттары және 1903 жылғы өзгерістері бар тізімнің фрагменті, мұнда сәйкес құпия сөздің жарамдылық мерзімінің аяқталу саясаты енді қолданылмайды. Айтпақшы, жаңа нұсқада әкімші және қонақ тіркелгілері де әдепкі бойынша жойылады

Майкрософт өзінің блог жазбасында құпия сөзді міндетті түрде өзгерту ережесінен неліктен бас тартқанын әйгілі түрде түсіндіреді: «Құпия сөздің мерзімдік жарамдылық мерзімі тек құпия сөздің (немесе хэштің) өмір бойы ұрлануынан және оны рұқсат етілмеген адам пайдалануынан қорғайды. Құпия сөз ұрланбаған болса, оны өзгертудің қажеті жоқ. Ал егер сізде құпия сөздің ұрланғаны туралы дәлелдер болса, мәселені шешу үшін оның мерзімі біткенше күтпей, бірден әрекет еткіңіз келетіні анық».

Microsoft корпорациясы бүгінгі ортада осы әдіс арқылы құпия сөзді ұрлаудан қорғаудың дұрыс емес екенін түсіндіреді: «Егер құпия сөз ұрлануы мүмкін екені белгілі болса, ұрыға қанша күн рұқсат беру үшін қолайлы уақыт кезеңі. ұрланған құпия сөзді қолданасыз ба? Әдепкі мән - 42 күн. Бұл күлкілі ұзақ уақыт сияқты емес пе? Шынында да, бұл өте ұзақ уақыт, бірақ біздің қазіргі базалық көрсеткішіміз 60 күн, ал бұрын 90 күн деп белгіленді, өйткені жиі мерзімінің аяқталуын мәжбүрлеу өз проблемаларын тудырады. Ал егер пароль міндетті түрде ұрланбаған болса, онда сіз бұл проблемаларды пайдасыз алып жатырсыз. Сонымен қатар, егер сіздің пайдаланушыларыңыз кәмпиттер үшін құпия сөзді айырбастауға дайын болса, құпия сөздің жарамдылық мерзімінің аяқталу саясаты көмектеспейді.

Баламалы

Майкрософт оның негізгі қауіпсіздік саясаттары жақсы басқарылатын, қауіпсіздікті сезінетін бизнеске арналған деп жазады. Олар сондай-ақ аудиторларға нұсқаулық беруге арналған. Егер мұндай ұйым тыйым салынған құпия сөз тізімдерін, көп факторлы аутентификацияны, құпия сөзді дөрекі күшпен шабуылды анықтауды және аномальды кіру әрекетін анықтауды жүзеге асырса, парольдің мерзімінің мерзімді аяқталуы қажет пе? Ал егер олар заманауи қауіпсіздік шараларын қолданбаса, құпия сөздің жарамдылық мерзімі оларға көмектесе ме?

Майкрософттың логикасы таң қалдырарлықтай сенімді. Бізде екі нұсқа бар:

1. Компания заманауи қауіпсіздік шараларын енгізді.
2. компания емес заманауи қауіпсіздік шараларын енгізді.

Бірінші жағдайда парольді мезгіл-мезгіл өзгерту қосымша артықшылықтар бермейді.

Екінші жағдайда парольді мезгіл-мезгіл өзгерту пайдасыз.

Осылайша, парольдің жарамдылық мерзімінің орнына, ең алдымен, көп факторлы аутентификация. Қосымша қауіпсіздік шаралары жоғарыда келтірілген: тыйым салынған құпия сөздер тізімі, дөрекі күштерді анықтау және басқа да аномальды кіру әрекеттері.

«Құпия сөздің мерзімді мерзімі - ескі және ескірген қауіпсіздік шарасы", - деп қорытындылайды Microsoft, "және біз базалық қорғау деңгейімізге қолдануға болатын нақты мән бар деп ойламаймыз. Оны біздің базамыздан алып тастай отырып, ұйымдар біздің ұсыныстарымызға қайшы келмей өздерінің қажеттіліктеріне сәйкес келетінін таңдай алады».

қорытынды

Егер компания бүгінде пайдаланушыларды парольдерін мезгіл-мезгіл өзгертуге мәжбүрлейтін болса, сыртқы бақылаушы не ойлауы мүмкін?

1. Берілгендер: компания архаикалық қорғаныс механизмін пайдаланады.
2. Болжам: компанияда заманауи қорғаныс механизмдері енгізілмеген.
3. Қорытынды: бұл құпия сөздерді алу және пайдалану оңайырақ.

Құпия сөздерді мезгіл-мезгіл өзгерту компанияны шабуылдар үшін тартымдырақ нысанаға айналдырады.

Ақпарат көзі: www.habr.com