Zusammenfassung
Windows 10 Updates, die am 18. August 2020 veröffentlicht wurden, bietet unterstützung für Folgendes:
-
Überwachungsereignisse, um zu ermitteln, ob Anwendungen und Dienste 15 Zeichen oder längere Kennwörter unterstützen.
-
Erzwingung der Mindestkennwortlänge von mindestens 15 Zeichen auf Windows Server, Version 2004 für Domänencontroller (DCs).
Unterstützte Versionen von Windows
Die Überwachung der Kennwortlängen wird in den folgenden Versionen von Windows. Die Erzwingung von Mindestkennwortlängen von mindestens 15 Zeichen wird in Windows Server, Version 2004 und in späteren Versionen von Windows.
Windows-Version |
KB |
Support |
Windows 10, Version 2004 Windows Server, Version 2004 |
In der veröffentlichten Version enthalten |
Erzwingung Überwachung |
Windows 10, Version 1909 Windows Server, Version 1909 |
Überwachung |
|
Windows 10, Version 1903 Windows Server, Version 1903 |
Überwachung |
|
Windows 10, Version 1809 Windows Server version 1809 Windows Server 2019 |
Überwachung |
|
Windows 10, Version 1607 Windows Server 2016 |
Überwachung |
Vorgeschlagene Bereitstellung
Domänencontroller |
Administrative Arbeitsstationen |
|
Überwachung: Wenn nur die Überwachung der Kennwortnutzung unter einem Minimalwert liegt, stellen Sie die Bereitstellung wie folgt dar. |
Stellen Sie Updates auf allen unterstützten DCs zur Verfügung, wenn eine Überwachung gewünscht wird. |
Stellen Sie Updates für neue Gruppenrichtlinieneinstellungen auf unterstützten administrativen Arbeitsstationen zur Verfügung. Verwenden Sie diese Arbeitsstationen zum Bereitstellen aktualisierter Gruppenrichtlinien. |
Erzwingung: Wenn Sie die Erzwingung des Kennworts mit mindester Länge erreichen möchten, stellen Sie es wie folgt dar. |
Windows Server, version 2004 DCs. Alle DCs müssen mit dieser oder einer späteren Version installiert sein. Es sind keine weiteren Updates erforderlich. |
Verwenden Windows 10 Version 2004. Die neuen Gruppenrichtlinieneinstellungen für die Erzwingung sind in dieser Version enthalten. Verwenden Sie diese Arbeitsstationen zum Bereitstellen aktualisierter Gruppenrichtlinien. |
Bereitstellungsrichtlinien
Führen Sie die folgenden Schritte aus, um Die Überwachung und Erzwingung von Mindestkennwortlängen zu unterstützen:
-
Stellen Sie das Update für alle unterstützten Windows auf allen Domänencontrollern zur Verfügung.
-
Domänencontroller: Durch die Updates und späteren Updates wird die Unterstützung auf allen DCs aktiviert, um Benutzer- oder Dienstkonten zu authentifizieren, die für die Verwendung von mehr als 14-Zeichen-Kennwörtern konfiguriert sind.
-
Administrative Arbeitsstation: Stellen Sie die Updates auf administrativen Arbeitsstationen zur Verfügung, um die Anwendung der neuen Gruppenrichtlinieneinstellungen auf DCs zu ermöglichen.
-
-
Aktivieren Sie die Gruppenrichtlinieneinstellung "MinimumPasswordLengthAudit" für eine Domäne oder Gesamtstruktur, wenn längere erforderliche Kennwörter gewünscht werden. Diese Richtlinieneinstellung sollte in der Richtlinie des Standarddomänencontrollers aktiviert werden, die mit der Organisationseinheit der Domänencontroller verknüpft ist.
-
Wir empfehlen, die Überwachungsrichtlinie drei bis sechs Monate lang aktiviert zu lassen, um alle Software zu erkennen, die keine Kennwörter mit mehr als 14 Zeichen unterstützt.
-
Überwachen von Domänen für Directory-Services-SAM 16978-Ereignisse, die für Software protokolliert wurden, mit der Kennwörter drei bis sechs Monate lang verwaltet wurden. Sie müssen keine Directory-Services-SAM 16978-Ereignisse überwachen, die für Benutzerkonten protokolliert werden.
-
Konfigurieren Sie die Software nach Möglichkeit so, dass sie eine längere Kennwortlänge verwendet.
-
Arbeiten Sie mit dem Softwareanbieter zusammen, um die Software so zu aktualisieren, dass längere Kennwörter verwendet werden.
-
Stellen Sie eine Feinkennwortrichtlinie für dieses Konto mithilfe eines Werts, der der von der Software verwendeten Kennwortlänge entspricht, zur Anwendung.
-
Für Software, die Kontokennwörter verwaltet, aber nicht automatisch lange Kennwörter verwendet und nicht für die Verwendung langer Kennwörter konfiguriert werden kann, kann für diese Konten eine Feinkennwortrichtlinie verwendet werden.
-
-
Nachdem alle Directory-Services-SAM 16978-Ereignisse adressiert wurden, müssen Sie ein Mindestkennwort aktivieren. Gehen Sie hierzu wie folgt vor:
-
Stellen Sie eine Version von Windows Server Windows, die die Erzwingung auf allen DCs (einschließlich Read-Only DCs) unterstützt.
-
Aktivieren Sie die Gruppenrichtlinie "RelaxMinimumPasswordLengthLimits" auf allen DCs.
-
Konfigurieren Sie die Gruppenrichtlinie "MinimumPasswordLength" auf allen DCs.
-
Gruppenrichtlinie
Richtlinienpfad und Einstellungsname, unterstützte Versionen |
Beschreibung |
Richtlinienpfad: Computerkonfiguration > Windows Einstellungen > Security Einstellungen > Kontorichtlinien -> Kennwortrichtlinie -> Überwachung Mindestlänge der Kennwortlänge Einstellungsname: MinimumPasswordLengthAuditUnterstützt von:
Ein Neustart ist nicht erforderlich. |
Überwachung der Mindestlänge von Kennwörtern Diese Sicherheitseinstellung bestimmt die Mindestkennwortlänge, für die Warnungsereignisse für die Kennwortlänge-Überwachung ausgegeben werden. Diese Einstellung kann zwischen 1 und 128 konfiguriert werden. Sie sollten diese Einstellung nur aktivieren und konfigurieren, wenn Sie versuchen, die möglichen Auswirkungen eines Erhöhens der Einstellung für mindeste Kennwortlänge in Ihrer Umgebung zu ermitteln. Wenn diese Einstellung nicht definiert ist, werden keine Überwachungsereignisse ausgegeben. Wenn diese Einstellung definiert ist und kleiner oder gleich der Einstellung für Mindestkennwortlänge ist, werden keine Überwachungsereignisse ausgegeben. Wenn diese Einstellung definiert ist und größer als die Einstellung für die Mindestkennwortlänge ist und die Länge eines neuen Kontokennworts kleiner als diese Einstellung ist, wird ein Überwachungsereignis ausgestellt. |
Richtlinienpfad und Einstellungsname, unterstützte Versionen |
Beschreibung |
Richtlinienpfad: Computerkonfiguration > Windows Einstellungen > Security Einstellungen > Kontorichtlinien -> Kennwortrichtlinie -> Mindestens Kennwortlänge begrenzen Einstellungsbeschränkungen: RelaxMinimumPasswordLengthLimitsUnterstützt von:
Ein Neustart ist nicht erforderlich. |
Entspannen Sie die Mindestlänge von Kennwörtern, legacy-Limits Mit dieser Einstellung wird steuert, ob die Einstellung für die Mindestlänge von Kennwörtern über den legacy-Grenzwert von 14 hinaus erhöht werden kann. Wenn diese Einstellung nicht definiert ist, kann die Mindestkennwortlänge auf nicht mehr als 14 festgelegt werden. Wenn diese Einstellung definiert und deaktiviert ist, kann die Mindestkennwortlänge auf nicht mehr als 14 festgelegt werden. Wenn diese Einstellung definiert und aktiviert ist, kann mindestens eine Kennwortlänge von mehr als 14 konfiguriert werden. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=2097191. |
Richtlinienpfad und Einstellungsname, unterstützte Versionen |
Beschreibung |
Richtlinienpfad: Computerkonfiguration > Windows Einstellungen > Security Einstellungen > Kontorichtlinien -> Kennwortrichtlinie -> Mindestkennwortlänge Einstellungsname: MinimumPasswordLengthUnterstützt von:
Ein Neustart ist nicht erforderlich. |
Diese Sicherheitseinstellung bestimmt die wenigsten Zeichen, die ein Kennwort für ein Benutzerkonto enthalten kann. Der Maximalwert für diese Einstellung richtet sich nach dem Wert der Einstellung für die Mindestlänge von Kennwörtern für Relax. Wenn die Einstellung mindestens Kennwortlänge für Relax nicht definiert ist, kann diese Einstellung von 0 bis 14 konfiguriert werden. Wenn die Einstellung minimaler Kennwortlängenbeschränkungen für Relax definiert und deaktiviert ist, kann diese Einstellung von 0 bis 14 konfiguriert werden. Wenn die Einstellung minimaler Kennwortlängenbeschränkungen für Relax definiert und aktiviert ist, kann diese Einstellung von 0 bis 128 konfiguriert werden. Wenn Sie die erforderliche Anzahl Zeichen auf 0 festlegen, ist kein Kennwort erforderlich. Hinweis Standardmäßig folgen die Membercomputer der Konfiguration ihrer Domänencontroller. Standardwerte:
Das Konfigurieren dieser Einstellung, die größer als 14 ist, kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Es wird empfohlen, diese Einstellung nur zu konfigurieren, wenn sie größer als 14 ist, nachdem Sie die Überwachungseinstellung Mindestkennwortlänge verwendet haben, um bei der neuen Einstellung auf potenzielle Inkompatibilitäten zu testen. |
Windows von Ereignisprotokollmeldungen
Im Rahmen dieser zusätzlichen Unterstützung sind drei neue Ereignis-ID-Protokollmeldungen enthalten.
Ereignis-ID 16977
Die Ereignis-ID 16977 wird protokolliert, wenn die Richtlinieneinstellungen MinimumPasswordLength,RelaxMinimumPasswordLengthLimitsoder MinimumPasswordLengthAudit in Gruppenrichtlinien zunächst konfiguriert oder geändert werden. Dieses Ereignis wird nur auf DCs protokolliert. Der Wert für RelaxMinimumPasswordLengthLimits wird nur auf DCs Windows Server, Version 2004 und höher, protokolliert.
Ereignisprotokoll |
System |
Ereignisquelle |
Directory-Services-SAM |
Ereignis-ID |
16977 |
Ebene |
Informationen |
Text der Ereignismeldung |
Die Domäne wird mithilfe der folgenden Einstellungen für die Mindestlänge von Kennwörtern konfiguriert. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=2097191. |
Ereignis-ID 16978
Die Ereignis-ID 16978 wird protokolliert, wenn ein Kontokennwort geändert wird und das Kennwort kürzer als die aktuelle Einstellung MinimumPasswordLengthAudit ist.
Ereignisprotokoll |
System |
Ereignisquelle |
Directory-Services-SAM |
Ereignis-ID |
16978 |
Ebene |
Informationen |
Text der Ereignismeldung |
Das folgende Konto ist für die Verwendung eines Kennworts konfiguriert, dessen Länge kürzer als die aktuelle Einstellung MinimumPasswordLengthAudit ist. AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=2097191. |
Erzwingung der Ereignis-ID 16979
Die Ereignis-ID 16979 wird protokolliert, wenn die Einstellungen für Überwachungsgruppenrichtlinien falsch konfiguriert sind. Dieses Ereignis wird nur auf DCs protokolliert. Der Wert für RelaxMinimumPasswordLengthLimits wird nur auf Windows Server, Version 2004 und höher, DCs der Version 2004, protokolliert. Dies ist zur Durchsetzung.
Ereignisprotokoll |
System |
Ereignisquelle |
Directory-Services-SAM |
Ereignis-ID |
16979 |
Ebene |
Fehler |
Text der Ereignismeldung |
Die Domäne ist fälschlicherweise mit einer Einstellung für MinimumPasswordLength größer als 14 konfiguriert, während RelaxMinimumPasswordLengthLimits entweder nicht definiert oder deaktiviert ist. Hinweis Bis diese Korrektur behoben ist, erzwingt die Domäne eine kleinere Einstellung für MinimumPasswordLength von 14. Aktuell konfigurierter Wert für MinimumPasswordLength:Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=2097191. |
Ereignis-ID 16979-Überwachung
Die Ereignis-ID 16979 wird protokolliert, wenn die Einstellungen für Überwachungsgruppenrichtlinien falsch konfiguriert sind. Dieses Ereignis wird nur auf DCs protokolliert. Im Rahmen dieser hinzugefügten Unterstützung ist eine neue Ereignisprotokollmeldung für die Überwachung enthalten.
Ereignisprotokoll |
System |
Ereignisquelle |
Directory-Services-SAM |
Ereignis-ID |
16979 |
Ebene |
Fehler |
Text der Ereignismeldung |
Die Domäne ist fälschlicherweise mit einer Einstellung für MinimumPasswordLength konfiguriert, die größer als 14 ist. Hinweis Bis diese Korrektur behoben ist, erzwingt die Domäne eine kleinere Einstellung für MinimumPasswordLength von 14. Aktuell konfigurierter Wert für MinimumPasswordLength: Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=2097191. |
Leitfaden für Die Änderung von Softwarekennworten
Verwenden Sie die maximale Kennwortlänge beim Festlegen eines Kennworts in Software.
„Verlauf“
Obwohl die gesamte Microsoft-Sicherheitsstrategie auf eine weniger zukünftige Kennwörter ausgerichtet ist, können viele Kunden kurz- und mittelschwere Kennwörter nicht weg migrieren. Einige sicherheitsbewusste Kunden möchten eine Standardeinstellung für Mindestkennwortlänge für Domänen konfigurieren können, die größer als 14 Zeichen ist (z. B. können Kunden dies tun, nachdem sie ihre Benutzer aufgefordert haben, längere Passphrasen anstelle der herkömmlichen kurzen, einfachen Tokenkennwörter zu verwenden). Zur Unterstützung dieser Anfrage haben Windows Updates für Windows Server 2016 im April 2018 eine Gruppenrichtlinienänderung aktiviert, durch die die Mindestkennwortlänge von 14 auf 20 Zeichen erhöht wurde. Obwohl diese Änderung ein längeres Kennwort zu unterstützen schien, war sie letztendlich nicht ausreichend und hat den neuen Wert abgelehnt, als die Gruppenrichtlinie angewendet wurde. Diese Ablehnungen wurden automatisch abgelehnt, und es waren detaillierte Tests erforderlich, um zu ermitteln, dass das System keine längeren Kennwörter unterstützt. Sowohl für Windows Server 2016 als auch für Windows Server 2019 wurde ein Nachaktualisierung der Sicherheitskonto-Manager-Ebene (Security Account Manager, SAM) einbezogen, damit das System mit einer Mindestkennwortlänge von mehr als 14 Zeichen ordnungsgemäß arbeiten kann. Sowohl für Windows Server 2016 als auch für Windows Server 2019 wurde ein Nachaktualisierung der Sicherheitskonto-Manager-Ebene (Security Account Manager, SAM) einbezogen, damit das System mit einer Mindestkennwortlänge von mehr als 14 Zeichen ordnungsgemäß arbeiten kann.
Die Richtlinieneinstellung "MinimumPasswordLength" hatte für sehr lange Zeit (viele Jahre) auf allen Microsoft-Plattformen einen zulässigen Bereich von 0 bis 14. Diese Einstellung gilt sowohl für die lokalen Windows als auch für Active Directory -Domänen (und zuvor NT4-Domänen). Ein Nullwert (0) bedeutet, dass für ein Konto kein Kennwort erforderlich ist.
In früheren Versionen von Windows wurde auf der Benutzeroberfläche für Gruppenrichtlinien das Festlegen von Mindestlängen von Kennwörtern, die länger als 14 Zeichen sind, nicht aktiviert. Im April 2018 haben wir jedoch die Windows 10-Updates veröffentlicht, die im Rahmen von Updates wie den beispiels die Unterstützung für mehr als 14 Zeichen auf der Gruppenrichtlinienbenutzeroberfläche hinzugefügt haben:
-
KB 4093120:17. April 2018 – KB4093120 (Betriebssystem-Build 14393.2214)
Dieses Update enthielt den folgenden Versionshinweistext:
"Erhöht die Mindestkennwortlänge in der Gruppenrichtlinie auf 20 Zeichen."
Einige Kunden, die die April 2018-Versionen installiert haben und Updates ersetzten, stellten fest, dass sie immer noch keine Kennwörter mit mehr als 14 Zeichen verwenden konnten. Eine Untersuchung hat festgestellt, dass zusätzliche Updates auf Gleichstrom-Rollencomputern installiert werden müssen, um die in der Kennwortrichtlinie definierten Kennwörter mit mehr als 14 Zeichen zu verwalten. Die folgenden Updates aktivierten Windows Server 2016, Windows 10, Version 1607 und die erste Veröffentlichung von Windows 10-Domänencontrollern für Dienstanmeldungen und Authentifizierungsanforderungen mit mehr als 14-Zeichen-Kennwörtern:
-
KB 4467684:27. November 2018 – KB4467684 (Betriebssystem-Build 14393.2639)
Dieses Update enthielt den folgenden Versionshinweistext:
"Behebt ein Problem, das verhindert, dass Domänencontroller die Gruppenrichtlinien-Kennwortrichtlinie anwenden, wenn die Mindestkennwortlänge so konfiguriert ist, dass sie größer als 14 Zeichen ist."
-
KB 4471327:11. Dezember 2018 – KB4471321 (Betriebssystem-Build 14393.2665)
Einige Kunden haben nach der Installation der Updates vom April 2018 bis Oktober 2018, die im Wesentlichen bis November 2018 und Dezember 2018 ruhende Kennwörter festgelegt haben, in der Richtlinie mehr als 14 Zeichen als Kennwörter definiert, oder sie haben für Domänencontroller des systemeigenen Betriebssystems aktiviert, dass sie mehr als 14- zeichen lange Kennwörter in der Richtlinie verwenden konnten. Dadurch wird die Verknüpfung "Zeit/Ursache" zwischen Featureaktivierung und Richtlinienanwendung entfernt. Unabhängig davon, ob Sie gleichzeitig Gruppenrichtlinien- und Domänencontrollerupdates installiert haben, können die folgenden Nebeneffekte auftreten:
-
Es wurden Probleme mit Anwendungen verfügbar gemacht, die derzeit mit mehr als 14-Zeichen-Kennwörtern nicht kompatibel sind.
-
Probleme offengelegt, wenn Domänen, die aus einer Mischung aus der Release-Version von Windows Server 2019 oder aktualisierten 2016-DCs bestehen, die mehr als 14- Zeichen-Kennwörter und Vor-Windows Server 2016-DCs unterstützen, die nicht mehr als 14-Zeichen-Kennwörter unterstützen (bis Backports vorhanden sind und für Windows Server 2016 installiert sind).
-
Nach der Installation von KB4467684kann der Clusterdienst möglicherweise nicht mit dem Fehler "2245 (NERR_PasswordTooShort)" gestartet werden, wenn die Gruppenrichtlinie "Mindestkennwortlänge" mit mehr als 14 Zeichen konfiguriert ist.
Die Anleitung für dieses bekannte Problem war, die Domänen-Standardrichtlinie "Mindestkennwortlänge" auf weniger als oder gleich 14 Zeichen zu setzen. Wir arbeiten an einer Lösung und werden in einer bevorstehenden Version ein Update zur Verfügung stellen.
Aufgrund der früheren Probleme wurde die Unterstützung für kennwörter mit mehr als 14 Zeichen auf der DC-Seite in den Updates vom Januar 2019 entfernt, sodass das Feature nicht verwendet werden kann.