“Microsoft从Windows 10 1909安全基准中删除漏洞利用保护”

微软公布了即将上市的windows 10和windows 10服务器构建1909安全基准配置的最终版本。 虽然安全基线草案版本中引入的一个功能是exploit protection，但微软似乎认为必须将其删除，并强制加入域的设备使用30天的帐户密码。

微软为windows 10和windows 10服务器版本提供了多种配置功能，供公司员工使用。 据该公司称，安全标准是根据微软安全工程团队、产品组、合作伙伴和顾客的反馈制定的。

漏洞防范功能是windows 19 1909新的安全基准中引入的主要安全功能之一。 虽然此功能有助于缓解比较性的攻击，但也可能会给旧应用程序带来一点问题。 企业喜欢旧的应用程序。

微软为什么要从安全基线配置中删除漏洞利用保护设置的正式答案是会引起兼容性问题。 该公司还提供了一个powershell脚本，用于在将此功能应用于组织时删除此功能。

密码到期日期和thunderbolt限制也已删除

微软还从加入活动目录域的计算机的安全基线中删除了30天密码过期策略的确定实施。 微软认为这种删除操作带来的风险非常低。 因为要窃取计算机帐户的密码，必须有人取得对计算机的完全管理访问权限。 他补充说，如果任何人都可以访问帐户密码，他们将只充当互联网上的计算机，而不能担任其他角色。

windows 10 1909的安全基线通过企业添加到新的windows版本中的内核直接内存访问( dma )保护，可以缓解bitlocker上的dma侧通道攻击，从而减少了thunderbolt设备的

以前，微软从构建windows 10 1903开始就放弃了通用的密码到期策略，建议进行多因素认证、检测异常登录尝试、检测推测密码的攻击、强制执行无效密码列表。

本文：《“Microsoft从Windows 10 1909安全基准中删除漏洞利用保护”》