Rezumat
Windows 10 lansate la 18 august 2020 adaugă suport pentru următoarele:
-
Evenimente de auditare pentru a identifica dacă aplicațiile și serviciile acceptă parole cu 15 caractere sau mai lungi.
-
Aplicarea lungimilor minime ale parolelor de 15 caractere sau mai mari pe Windows Server, controlerele de domeniu (DCS) versiunea 2004.
Versiuni acceptate de Windows
Auditarea lungimilor parolelor este suportată în următoarele versiuni de Windows. Aplicarea lungimilor minime ale parolelor de 15 caractere sau mai multe este suportată în Windows Server, versiunea 2004 și în versiunile mai recente de Windows.
Versiune Windows |
KB |
Asistență |
Windows 10, versiunea 2004 Windows Server versiunea 2004 |
Inclus în versiunea lansată |
Impunere Auditul |
Windows 10, versiunea 1909 Windows Server versiunea 1909 |
Auditul |
|
Windows 10, versiunea 1903 Windows Server versiunea 1903 |
Auditul |
|
Windows 10, versiunea 1809 Windows Server 1809 Windows Server 2019 |
Auditul |
|
Windows 10, versiunea 1607 Windows Server 2016 |
Auditul |
Implementare sugerată
Controlere domeniu |
Stații de lucru administrative |
|
Audit: Dacă auditați numai utilizarea parolelor sub o valoare minimă, implementați după cum urmează. |
Implementați actualizări pe toate DCS-urile acceptate unde se dorește auditarea. |
Implementați actualizări pentru stațiile de lucru administrative acceptate pentru noile setări ale Politicii de grup. Utilizați aceste stații de lucru pentru a implementa politici de grup actualizate. |
Impunere: Dacă se dorește o lungime minimă a parolei, implementați după cum urmează. |
Windows Server, versiune 2004 DCs. Toate DCs trebuie să aibă această versiune sau o versiune mai recentă. Nu sunt necesare actualizări suplimentare. |
Utilizați Windows 10, versiunea 2004. Noile setări de Politică de grup pentru impunere sunt incluse în această versiune. Utilizați aceste stații de lucru pentru a implementa politici de grup actualizate. |
Instrucțiuni de implementare
Pentru a adăuga suport pentru auditarea și impunerea minimă a parolelor, urmați acești pași:
-
Implementați actualizarea pe toate versiunile de Windows acceptate pe toate controlerele de domeniu.
-
Controler domeniu: Actualizările și actualizările ulterioare activează suportul pentru toate DCS-urile pentru autentificarea conturilor de utilizator sau de serviciu configurate să utilizeze parole mai mari de 14 caractere.
-
Stația de lucru administrativă: Implementați actualizările pentru stațiile de lucru administrative pentru a permite aplicarea noilor setări ale Politicii de grup la PC-uri.
-
-
Activați setarea Politicii de grupPasswordLengthAudit pentru un domeniu sau o pădure unde se solicită parole mai lungi. Această setare de politică trebuie activată în politica implicită de controler de domeniu legată de controlerele de domeniu din unitatea organizațională (OU).
-
Se recomandă să lăsând politica de auditare activată timp de trei până la șase luni pentru a detecta toate programele software care nu acceptă parole mai mari de 14 caractere.
-
Monitorizați domeniile pentru evenimente Directory-Services-SAM 16978 înregistrate cu software-ul care a gestionat parole timp de trei până la șase luni. Nu trebuie să monitorizați evenimentele Directory-Services-SAM 16978 înregistrate în conturile de utilizator.
-
Dacă este posibil, configurați software-ul pentru a utiliza o lungime mai lungă a parolei.
-
Lucrați cu distribuitorul software-ului pentru a actualiza software-ul pentru a utiliza parole mai lungi.
-
Implementați o politică de parolă fină pentru acest cont utilizând o valoare care se potrivește cu lungimea parolei utilizată de software.
-
Pentru software-ul care gestionează parole de cont, dar nu utilizează automat parole lungi și nu poate fi configurat să utilizeze parole lungi, se poate utiliza o politică de parole foarte fină pentru aceste conturi.
-
-
După ce se adresează toate evenimentele Directory-Services-SAM 16978, activați o parolă minimă. Pentru a face acest lucru, urmați acești pași:
-
Implementați o versiune de Windows Server care acceptă impunerea pentru toate DCs-urile (inclusiv Read-Only DCs).
-
Activați politica de grup RelaxMinimumPasswordLengthLimits pe toate DCs-urile.
-
Configurați Politica de grup MinimumPasswordLength pe toate DCs-urile.
-
Politică de grup
Calea politicii și setarea numelui, versiuni acceptate |
Descriere |
Calea politicii: Politicile contului > Windows Setări > de securitate Setări > -> Password Policy -> Numele minim de setări pentru lungimea parolei: MinimumPasswordLengthAuditSe acceptă pe:
Nu este necesară o repornire |
Auditarea minimă a lungimii parolei Această setare de securitate determină lungimea minimă a parolei pentru care sunt emise evenimente de avertizare pentru auditarea lungimii parolei. Această setare poate fi configurată de la 1 la 128. Trebuie să activați și să configurați această setare doar atunci când încercați să determinați efectul potențial al măririi setării minime pentru lungimea parolei în mediul dvs. Dacă această setare nu este definită, evenimentele de auditare nu vor fi emise. Dacă această setare este definită și este mai mică sau egală cu setarea minimă pentru lungimea parolei, nu vor fi emise evenimente de auditare. Dacă această setare este definită și este mai mare decât setarea minimă pentru lungimea parolei, iar lungimea unei parole de cont nou este mai mică decât această setare, va fi emis un eveniment de auditare. |
Calea politicii și setarea numelui, versiuni acceptate |
Descriere |
Calea politicii: Politicile contului > Windows Setări > securitate și Setări > computer -> Password Policy -> Relaxați limitele minime de lungime a parolelor Numele setărilor: RelaxMinimpasswordLengthLimitsSe acceptă pe:
Nu este necesară o repornire |
Relaxați-vă la limitele minime pentru lungimea parolelor moștenite Această setare controlează dacă setarea minimă de lungime a parolei poate fi mărită dincolo de limita moștenit de 14. Dacă această setare nu este definită, lungimea minimă a parolei poate fi configurată la cel mult 14. Dacă această setare este definită și dezactivată, lungimea minimă a parolei poate fi configurată la cel mult 14. Dacă această setare este definită și activată, lungimea minimă a parolei poate fi configurată mai mare de 14. Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?LinkId=2097191. |
Calea politicii și setarea numelui, versiuni acceptate |
Descriere |
Calea politicii: Computer Configuration > Windows Setări > Security Setări > Account Policies -> Password Policy -> Minimum password length Setting name: MinimumPasswordLengthSe acceptă pe:
Nu este necesară o repornire |
Această setare de securitate determină numărul cel mai mic de caractere pe care le poate conține o parolă pentru un cont de utilizator. Valoarea maximă pentru această setare depinde de valoarea setării Pentru limitele de lungime minimă a parolei. Dacă nu este definită setarea Pentru limitele minime de lungime a parolelor, această setare poate fi configurată de la 0 la 14. Dacă setarea Pentru limitele minime de lungime a parolelor este definită și dezactivată, această setare poate fi configurată de la 0 la 14. Dacă setarea de lungime minimă a parolelor este definită și activată, această setare poate fi configurată de la 0 la 128. Setarea numărului de caractere necesar la 0 înseamnă că nu este necesară o parolă. Notă În mod implicit, computerele membrilor urmează configurarea controlerelor lor de domeniu. Valori implicite:
Configurarea acestei setări mai mari de 14 poate afecta compatibilitatea cu clienții, serviciile și aplicațiile. Se recomandă să configurați această setare mai mare de 14 după ce utilizați setarea de auditare lungime minimă a parolei pentru a testa dacă există incompatibilități potențiale în noua setare. |
Windows de jurnal de evenimente
Trei mesaje noi în jurnalul cu ID-uri de eveniment sunt incluse ca parte a acestui suport adăugat.
EVENT ID 16977
EVENT ID 16977 va fi înregistrat atunci când MinimumPasswordLength,RelaxMinimumPasswordLengthLimitssau setările politicii MinimumPasswordLengthAudit sunt inițial configurate sau modificate în Politica de grup. Acest eveniment va fi conectat doar la DCS-uri. Valoarea RelaxMinimumPasswordLengthLimits va fi conectată numai în Windows Server, versiunea 2004 și versiunile mai recente de DCS.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
Directory-Services-SAM |
ID eveniment |
16977 |
Nivel |
Informații |
Textul mesajului eveniment |
Domeniul este configurat utilizând următoarele setări minime legate de lungimea parolei. Parolă MinimăLavânt: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?LinkId=2097191. |
EVENT ID 16978
Event ID 16978 va fi înregistrat atunci când o parolă de cont este modificată și parola este mai scurtă decât setarea curentă MinimumPasswordLengthAudit.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
Directory-Services-SAM |
ID eveniment |
16978 |
Nivel |
Informații |
Textul mesajului eveniment |
Următorul cont este configurat să utilizeze o parolă a cărei lungime este mai scurtă decât setarea curentă MinimumPasswordLengthAudit. Nume Cont: Parolă MinimăLavânt: MinimumPasswordLengthAudit:Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?LinkId=2097191. |
Impunerea ID-ului evenimentului 16979
EVENT ID 16979 va fi înregistrat în jurnal atunci când setările Politicii de grup pentru auditare sunt configurate greșit. Acest eveniment va fi conectat doar la DCS-uri. Valoarea RelaxMinimumPasswordLengthLimits va fi conectată numai în Windows Server, versiunea 2004 și versiunile mai recente. Acest lucru este valabil din impunere.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
Directory-Services-SAM |
ID eveniment |
16979 |
Nivel |
Eroare |
Textul mesajului eveniment |
Domeniul este configurat incorect cu o setare MinimumPasswordLength care este mai mare decât 14 în timp ce RelaxMinimumPasswordLengthLimits este nedefinit sau dezactivat. Notă Până când aceasta este corectată, domeniul va impune o setare minimă MinimumPasswordLength de 14. Valoarea MinimPasswordLength configurată în prezent:Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?LinkId=2097191. |
Event ID 16979 Auditing
EVENT ID 16979 va fi înregistrat în jurnal atunci când setările Politicii de grup pentru auditare sunt configurate greșit. Acest eveniment va fi conectat doar la DCS-uri. Un mesaj nou din jurnalul de evenimente este inclus pentru Audit, ca parte a acestui suport adăugat.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
Directory-Services-SAM |
ID eveniment |
16979 |
Nivel |
Eroare |
Textul mesajului eveniment |
Domeniul este configurat incorect cu o setare MinimumPasswordLength care este mai mare decât 14. Notă Până când aceasta este corectată, domeniul va impune o setare minimă MinimumPasswordLength de 14. Valoarea MinimPasswordLength configurată în prezent: Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?LinkId=2097191. |
Instrucțiuni pentru modificarea parolei software-ului
Utilizați lungimea maximă a parolei atunci când setți o parolă în software.
Istoric
Deși strategia generală de securitate Microsoft se concentrează ferm pe un viitor fără parole, mulți clienți nu pot migra departe de parole pentru termenul scurt și mediu. Unii clienți conștienți de securitate doresc să poată configura o setare implicită cu lungimea minimă a parolei pentru domeniu, care este mai mare de 14 caractere (de exemplu, clienții pot face acest lucru după ce își instruiesc utilizatorii să utilizeze frază de acces mai lungă în locul parolelor tradiționale scurte și unice pentru simboluri). În această solicitare, actualizările Windows din aprilie 2018 pentru Windows Server 2016 au activat o modificare de politică de grup care a mărit lungimea minimă a parolei de la 14 la 20 de caractere. Deși această modificare a apărut pentru a susține parola mai lungă, aceasta a fost, în cele din urmă, insuficientă și a respins valoarea nouă atunci când s-a aplicat Politica de grup. Aceste respingeri au fost silențioase și au necesitat o testare detaliată pentru a determina dacă sistemul nu acceptă parole mai lungi. O actualizare ulterioară a nivelului SAM (Security Account Manager) a fost inclusă atât pentru Windows Server 2016, cât și pentru Windows Server 2019, pentru a permite sistemului să funcționeze corect end-to-end, cu o lungime minimă a parolei mai mare de 14 caractere. O actualizare ulterioară a nivelului SAM (Security Account Manager) a fost inclusă atât pentru Windows Server 2016, cât și pentru Windows Server 2019, pentru a permite sistemului să funcționeze corect end-to-end, cu o lungime minimă a parolei mai mare de 14 caractere.
Setarea de politică MinimumPasswordLength a avut o zonă permisă de la 0 la 14 pentru o perioadă foarte lungă de timp (multe zeci) pe toate platformele Microsoft. Această setare se aplică atât la setările Windows securitate locală, cât și la domeniile Active Directory (și NT4 înainte de aceasta). O valoare zero (0) înseamnă că nu este necesară nicio parolă pentru niciun cont.
În versiunile anterioare de Windows, interfața de utilizator a Politicii de grup nu a activat setarea lungimilor minime necesare pentru parole mai lungi de 14 caractere. Cu toate acestea, în aprilie 2018, am lansat actualizări Windows 10 care au adăugat suport pentru mai mult de 14 caractere în interfața de utilizator pentru politica de grup, ca parte a actualizărilor cum ar fi:
-
KB 4093120: 17 aprilie 2018 - KB4093120 (compilare sistem de operare 14393.2214)
Această actualizare includea următorul text al notei privind versiunea:
"Mărește lungimea minimă a parolei în Politica de grup la 20 de caractere."
Unii clienți care au instalat lansarea din aprilie 2018 și au suprasa unor actualizări au descoperit că încă nu puteau utiliza parole mai mari de 14 caractere. Investigație identificată că actualizările suplimentare care trebuie instalate pe computere cu roluri DC care oferă parole mai mari de 14 caractere care au fost definite în politica pentru parole. Următoarele actualizări activate Windows Server 2016, Windows 10, versiunea 1607 și lansarea inițială Windows 10 controlerelor de domeniu Windows 10 pentru serviciile de conectare și solicitările de autentificare cu parole mai mari de 14 caractere:
-
KB 4467684: 27 noiembrie 2018 - KB4467684 (compilare sistem de operare 14393.2639)
Această actualizare includea următorul text al notei privind versiunea:
"Abordează o problemă care împiedică controlerele de domeniu să aplice politica de parolă pentru Politica de grup atunci când lungimea minimă a parolei este configurată să fie mai mare de 14 caractere."
-
KB 4471327: 11 decembrie 2018 - KB4471321 (compilare sistem de operare 14393.2665)
Unii clienți au definit în politică parole mai mari de 14 caractere după instalarea actualizărilor din aprilie 2018 până în octombrie 2018, care, în esență, au rămas inactive până în noiembrie 2018 și actualizările din decembrie 2018 sau un controlere de domeniu activate pentru sistemul de operare native pentru a oferi servicii mai mari de 14 caractere în politică, eliminând astfel legătura de timp/deutilizare dintre activarea caracteristicilor și aplicația politică. Indiferent dacă ați instalat în același timp politica de grup și controlerul de domeniu, este posibil să vedeți următoarele efecte secundare:
-
Expuse ale problemelor cu aplicații care sunt în prezent incompatibile cu parole mai mari de 14 caractere.
-
Expuse probleme atunci când domeniile care constau într-o combinație între versiunea de lansare Windows Server 2019 sau DCS-uri 2016 actualizate care acceptă mai mult de 14 caractere parole și DCS-uri de pre-Windows Server 2016 care nu acceptă parole mai mari de 14 caractere (până când nu există backporturi și sunt instalate pentru Windows Server 2016).
-
După instalarea KB4467684,serviciul de cluster poate să nu înceapă cu eroarea "2245 (NERR_PasswordTooShort)" dacă politica de grup "Lungime minimă a parolei" este configurată cu mai mult de 14 caractere.
Instrucțiunile pentru această problemă cunoscută era să setați politica implicită pentru domeniu "Lungime minimă a parolei" la mai puțin de sau egal cu 14 caractere. Lucrăm la o rezolvare și vom furniza o actualizare într-o ediție viitoare.
Din cauza problemelor anterioare, suportul lateral pentru DC pentru parole mai mari de 14 caractere a fost eliminat în actualizările din ianuarie 2019, astfel încât caracteristica să nu poată fi utilizată.