вторник, 9 апреля 2019 г.

Запрос документации о том, что политика "Запрашивать достоверный путь для входа в учётную запись" больше не рекомендуется

Это перевод Asking for clear written documentation that Require trusted path for credential entry is no longer recommended. Автор: Реймонд Чен.

Клиент включил политику "Запрашивать достоверный путь для входа в учётную запись" (в разделе "Конфигурация компьютера", "Административные шаблоны", "Компоненты Windows", "Пользовательский интерфейс учетных данных"). Он потребовал, чтобы Microsoft предоставила чёткую письменную документацию о том, что эта политика больше не рекомендуется к применению.

Это было интересное требование, поскольку эта политика никогда и не рекомендовалась!

Аарон Маргозис, который довольно много знает о рекомендуемых параметрах безопасности, подтвердил, что этот параметр никогда не входил в стандарты безопасности, опубликованные Microsoft. Он вспомнил, что он был частью чернового проекта для правительства, который был быстро закрыт и так никогда и не вышел из черновой стадии. Аарон даже выступил с докладом под названием Unintended Consequences of Security Lockdowns, где продемонстрировал, насколько бесполезна эта политика:

Демонстрация начинается в 32:47, а в 37:10 он продолжает обсуждение специального сочетания клавиш (SAS - Secure Attention Sequence).

Но одного только сообщения о том, что Microsoft никогда и не рекомендовала эту политику, было недостаточно, чтобы успокоить клиента, который повторил свое требование о том, чтобы Microsoft официально опубликовала рекомендацию не устанавливать этот параметр.

Столкнувшись с ещё одним случаем, когда клиент требует опубликовать документацию, в которой говорится, что плохая идея - это плохая идея, Аарон предложил клиенту придерживаться хорошо известных и проверенных решений.

Комментариев нет:

Отправить комментарий

Можно использовать некоторые HTML-теги, например:

<b>Жирный</b>
<i>Курсив</i>
<a href="http://www.example.com/">Ссылка</a>

Вам необязательно регистрироваться для комментирования - для этого просто выберите из списка "Анонимный" (для анонимного комментария) или "Имя/URL" (для указания вашего имени и ссылки на сайт). Все прочие варианты потребуют от вас входа в вашу учётку.

Пожалуйста, по возможности используйте "Имя/URL" вместо "Анонимный". URL можно просто не указывать.

Ваше сообщение может быть помечено как спам спам-фильтром - не волнуйтесь, оно появится после проверки администратором.

Примечание. Отправлять комментарии могут только участники этого блога.