Resumo:
- A versão 1903 foi oficializada, após os prenúncios feitos em abril, com novas políticas para as configurações básicas de segurança;
- A validade da senha foi removida em casos de contas que nunca sofreram invasão;
- A criptografia usada agora é do BitLocker. Mas, para não comprometer a funcionalidade de alguns computadores, não na sua versão mais potente.
No mês passado, a Microsoft decidiu fazer uma mudança importante na política de senhas do Windows 10 para proteger o sistema operacional Windows 10. Aaron Margosis, o principal consultor da empresa, oficializou agora a alteração para o Windows 10, versão 1903, o que resulta em uma série de descartes e simplificações nas configurações de segurança do sistema operacional.
LEIA MAIS: Microsoft lança serviços em nuvem para IA e blockchain
Destaque para o fim do prazo para troca de senha, no caso de contas que nunca sofreram invasão. Outros requisitos, no entanto, como tamanho mínimo da senha, histórico e complexidade seguem de pé. “A expiração periódica da senha é ‘uma defesa apenas contra a probabilidade de que uma senha (ou hash) seja roubada em seu período de validade. Se a senha nunca foi roubada, não precisa expirar”, diz Margosis. Forçar os usuários a alterar senhas em prazos relativamente curtos, segundo o consultor, os leva a escolher as senhas mais simples e, portanto, mais fáceis de lembrar. O que não é uma boa prática de segurança. “Cada organização deve escolher o que melhor atende às suas necessidades.”
Outro item de destaque na lista dos descartes é a criptografia. Muito se discutiu sobre o modelo criptográfico do BitLocker e a intensidade a ser usada na segurança da linha de base. Antes, a Microsoft insistia na criptografia mais forte possível para o BitLocker. Tudo mudou. É surpreendente que a empresa tenha desistido da criptografia de 256 bits, mas é possível explicar essa mudança de rota. Além de o padrão de criptografia de 128 bits não correr o risco de “ser quebrado num futuro próximo”, a opção por ele tem menor impacto no desempenho da máquina. “Em alguns hardwares, pode haver prejuízo perceptível no desempenho, com a versão de 256 bits”, diz Margosis, acrescentando que muitos dispositivos ativam o BitLocker automaticamente e usam os algoritmos padrão. “Convertê-los para 256 bits requer primeiro descriptografar para então re-criptografar”, pontua, “o que leva a uma exposição temporária na segurança”.
Também foram descartados, entre outros, os requisitos da linha de base de segurança para desativar a execução preventiva de dados. Por que a empresa levou dois anos para chegar a essa conclusão não se sabe. Em junho de 2017, Raymond Chen, um influente desenvolvedor da Microsoft, já havia explicado que isso apenas reforçava os comportamentos de tipo padrão e que os usuários deviam “desabilitar essas políticas”.
O descarte final nas normas de segurança refere-se à desativação das contas-padrão de Administrador e Convidado. Essas linhas de base precisam de gerenciamento, portanto, eliminá-las é positivo. Como lembra Margosis, não se deve impor a desativação dessas contas no caso de haver administradores mal informados que façam escolhas ruins na hora de baixar e instalar programas no computador. “As empresas ou usuários domésticos devem optar por habilitar essas contas conforme necessário”, conclui.
Todas as novas configurações de linha de base estão disponíveis para download com aplicação imediata do Microsoft Security Compliance Toolkit.