commentaires des lecteurs
164
avec 103 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
Pendant de nombreuses années, Microsoft a publié une configuration de base de sécurité : un ensemble de stratégies système qui sont une valeur par défaut raisonnable pour une organisation typique. Cette configuration peut être suffisante pour certaines entreprises, et elle représente un bon point de départ pour les entreprises qui ont besoin de quelque chose de plus strict. Alors que la plupart des paramètres n'ont posé aucun problème, une décision particulière a longtemps attiré la colère des utilisateurs finaux et des services d'assistance : une politique d'expiration de mot de passe de 60 jours qui force un changement de mot de passe tous les deux mois. Cette réalité n'est plus : la
dernier brouillon
pour la configuration de base pour Windows 10 version 1903 et Windows Server version 1903 supprime cette exigence fastidieuse.
La justification de la politique précédente est qu'elle limite l'impact qu'un mot de passe volé peut avoir : un mot de passe volé deviendra automatiquement invalide après, au plus, 60 jours. En réalité, cependant, l'expiration du mot de passe a tendance à rendre les systèmes moins sûrs, pas plus, car les utilisateurs d'ordinateurs n'aiment pas choisir ou mémoriser de nouveaux mots de passe. Au lieu de cela, ils feront quelque chose comme choisir un mot de passe simple, puis incrémenter un nombre à la fin du mot de passe, ce qui facilitera la "génération" d'un nouveau mot de passe chaque fois qu'ils y seront forcés.
Au début de l'informatique, cela aurait pu être un compromis judicieux, car le craquage des mots de passe était relativement lent. Mais de nos jours, avec les tables arc-en-ciel, l'accélération GPU et la puissance de calcul massive du cloud, ce n'est plus le cas – les mots de passe courts sont un handicap, donc toute politique qui incite les gens à privilégier les mots de passe courts est une mauvaise politique. Il est préférable de choisir un mot de passe long et, idéalement, une authentification multifacteur, en complétant le mot de passe avec un code temporel ou quelque chose de similaire.
Publicité
Les configurations de base sont souvent utilisées par les auditeurs, les entreprises étant sonnées pour chaque politique de base qu'elles ne suivent pas. En conséquence, Microsoft apporte quelques autres modifications à la ligne de base dans le but de s'assurer que les audits ne récupèrent que les configurations de sécurité qui sont vraiment importantes. Auparavant, la ligne de base exigeait que le chiffrement de disque le plus fort possible soit utilisé (256 bits) ; il ne le fait plus. Certains appareils présentent une différence de performances significative entre le cryptage 128 et 256 bits, ce qui rend le cryptage 256 bits indésirable. D'autres, comme la Surface, sont livrés avec un cryptage 128 bits plutôt que 256 bits. Respecter la politique signifie décrypter le disque puis le recrypter. Microsoft pense que le chiffrement complet du disque 128 bits est suffisant dans la plupart des situations, et donc exiger 256 bits n'améliore pas la sécurité mais nuit aux performances et nécessite un rechiffrement fastidieux.
Dans la nouvelle ligne de base, Microsoft envisage également de supprimer l'exigence de longue date de désactiver le compte Invité et le compte Administrateur par défaut. Windows 10 désactive le compte Invité par défaut
déjà
, ce qui signifie que s'il est activé, c'est probablement pour une bonne raison et ne devrait pas être pris en compte dans un audit.
Le compte administrateur intégré est également désactivé par défaut dans Windows 10, le système d'exploitation créant un compte distinct avec privilèges administrateur lors de l'installation. Cependant, le compte intégré possède certaines propriétés qui le rendent meilleur : il n'est pas soumis aux stratégies de verrouillage de compte et il ne peut pas être supprimé du groupe Administrateurs. En tant que tel, la décision d'utiliser le compte Administrateur intégré ou un autre est plus une question de goût que de sécurité.
