Microsoftは、次期Windows 10およびWindows 10 Serverビルド1909エディション向けのセキュリティベースライン構成の最終版をリリースしました。セキュリティベースラインのドラフト版ではExploit Protection機能が導入されていましたが、Microsoftはこれを削除したようです。また、ドメイン参加デバイスのアカウントパスワードの30日間の有効期限を明示的に強制する機能も削除されました。
Windows 19 1909 の新しいセキュリティ ベースラインで導入された主要なセキュリティ機能の一つが、Exploit Protection 機能です。この機能は特定の標的型攻撃の軽減に役立ちますが、レガシーアプリケーションでは問題を引き起こす可能性もあります。企業はレガシーアプリケーションを愛用しているのが現状です。
Microsoftは、セキュリティベースライン構成からエクスプロイト防止設定を削除した理由について、互換性の問題が発生するためと公式に回答しています。また、組織に既にエクスプロイト防止機能を適用している場合は、この機能を削除するためのPowerShellスクリプトも提供しています。
パスワードの有効期限とThunderboltの制限も削除
Microsoftはまた、Active Directoryドメインに参加しているコンピュータのセキュリティベースラインから、30日間のパスワード有効期限ポリシーの明示的な適用を削除しました。Microsoftは、コンピュータアカウントのパスワードを盗むには、コンピュータへの完全な管理者権限を取得する必要があるため、この削除によるリスクは非常に低いと考えています。また、誰かがアカウントパスワードにアクセスできたとしても、ネットワーク上でそのコンピュータとして操作することしかできず、それ以外のことはほとんどできないと付け加えています。
Windows 10 1909 のセキュリティ ベースラインから Thunderbolt デバイスへの制限も削除されました。これは、同社が新しい Windows バージョンに追加したカーネル ダイレクト メモリ アクセス (DMA) 保護により、BitLocker に対する DMA サイドチャネル攻撃を軽減できるためです。
以前、Microsoft は Windows 10 1903 ビルド以降、一般的なパスワード有効期限ポリシーを廃止し、代わりに多要素認証の使用、異常なログオン試行の検出、パスワード推測攻撃の検出、禁止パスワード リストの適用を推奨していました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
マイクロソフトは、米国国立標準技術研究所(NIST)が政府機関に対し、データ侵害が発生した後にのみパスワード有効期限ポリシーを実施するよう要請したことを受けて、この変更を実施した。
Windows 10 1909 セキュリティ ベースラインは、Microsoft のセキュリティ コンプライアンス ツールキットからダウンロードできるようになりました。
