Rezime
Windows 10 ispravke objavljene 18. avgusta 2020. dodaju podršku za sledeće:
-
Događaji nadzora kako biste identifikovali da li aplikacije i usluge podržavaju lozinke od 15 znakova ili duže.
-
Sprovođenje minimalne dužine lozinke od 15 znakova ili više njih na Windows Serveru, verziji 2004 kontrolera domena (DC-ove).
Podržane verzije programa Windows
Nadzor dužina lozinke je podržan u sledećim verzijama sistema Windows. Sprovođenje minimalne dužine lozinke od 15 ili više znakova podržano je u sistemu Windows Server, verziji 2004 i novijim verzijama programa Windows.
Windows verzije |
KB |
Podrška |
Windows 10 verziji 2004 Windows Server verzija 2004 |
Uključeno u izdatu verziju |
Prinudna prime Nadgledanje |
Windows 10, verzija 1909 Windows Server verzija 1909 |
Nadgledanje |
|
Windows 10, verzija 1903 Windows Server verzija 1903 |
Nadgledanje |
|
Windows 10, verzija 1809 Windows Server verzija 1809 Windows Server 2019 |
Nadgledanje |
|
Windows 10 verziji 1607 Windows Server 2016 |
Nadgledanje |
Predložena primena
Kontroleri domena |
Administrativne radne sveske |
|
Nadzor: Ako samo nadgledate korišćenje lozinke ispod minimalne vrednosti, primenite na sledeći način. |
Primenite ispravke na sve podržane DC-ove gde je nadzor željeni. |
Primenite ispravke na podržane administrativne radne sveske za nove postavke smernica grupe. Koristite ove radne lokacije da biste primenili ažurirane smernice grupe. |
Prinudna primena: Ako je željena minimalna dužina sprovođenja lozinke, onda primenite na sledeći broj. |
Windows Server, verzija 2004 DCs. Svi DC-ove moraju biti u ovoj verziji ili novijoj verziji. Nisu potrebne dodatne ispravke. |
Koristite Windows 10 verziju 2004. Nova postavka smernica grupe za sprovođenje uključena je u ovu verziju. Koristite ove radne lokacije da biste primenili ažurirane smernice grupe. |
Uputstva za primenu
Da biste dodali podršku za nadzor i sprovođenje minimalne dužine lozinke, pratite ove korake:
-
Primenite ispravku na sve podržane verzije Windows na svim kontrolera domena.
-
Kontroler domena: Ispravke i kasnije ispravke omogućavaju podršku na svim DC-ovima da potvrde identitet korisničkih naloga ili naloga usluga koji su konfigurisani da koriste lozinke veće od 14 znakova.
-
Administrativna radna sveska: Primenite ispravke na administrativne radne sveske da biste omogućili primenu novih postavki smernica grupe na DCs.
-
-
Omogućite postavku Smernice grupe MinimumPasswordLengthAudit smernica grupe na domenu ili šumi gde su željene duže potrebne lozinke. Ova postavka smernica trebalo bi da bude omogućena u smernicama podrazumevanog kontrolera domena povezanim sa organizacionom jedinicom (OU) za kontrolere domena.
-
Preporučujemo da smernice za nadzor ostavite omogućene u toku tri do šest meseci da biste otkrili sav softver koji ne podržava lozinke veće od 14 znakova.
-
Nadgledajte domene za događaje Directory-Services-SAM 16978 evidentirane u softveru koji je upravljao lozinkama tri do šest meseci. Ne morate da nadgledate događaje Directory-Services-SAM 16978 evidentirane u korisničkim nalozima.
-
Ako je to moguće, konfigurišite softver tako da koristi dužu dužinu lozinke.
-
Radite sa prodavcem softvera da biste ažurirali softver tako da koristi duže lozinke.
-
Primenite fine smernice za lozinku za ovaj nalog tako što će koristiti vrednost koja odgovara dužini lozinke koju softver koristi.
-
Za softver koji upravlja lozinkama naloga, ali ne koristi duge lozinke i ne može da se konfiguriše za upotrebu dugih lozinki, za te naloge mogu da se koriste fine smernice za lozinke.
-
-
Kada se reše svi događaji Directory-Services-SAM 16978, omogućite minimalnu lozinku. Da biste to uradio, sledite ove korake:
-
Primenite verziju sistema Windows koja podržava sprovođenje na svim DC-ovima (uključujući Read-Only DCs).
-
Omogućite smernice grupe RelaxMinimumPasswordLengthLimits na svim DC-ovima.
-
Konfigurišite smernice grupe MinimumPasswordLength na svim DC-ovima.
-
Smernice grupe
Putanja smernica i ime postavke, podržane verzije |
Opis |
Putanja smernica: Ime postavke za konfiguraciju računara > Windows Postavke > bezbednost Postavke > smernice za nalog -> smernica za lozinku -> Ime postavke nadzora minimalne dužine lozinke: MinimumPasswordLengthAuditPodržano u:
Ponovno pokretanje nije neophodno |
Minimalna kontrola dužine lozinke Ova bezbednosna postavka određuje minimalnu dužinu lozinke za koje se izdaju događaji upozorenja o nadzoru dužine lozinke. Ova postavka može da se konfiguriše od 1 do 128. Ovu postavku treba da omogućite i konfigurišete samo kada pokušate da utvrdite potencijalni efekat povećanja postavke minimalne dužine lozinke u okruženju. Ako ova postavka nije definisana, događaji nadzora neće biti izdati. Događaji nadzora neće se izdati ako je ova postavka definisana i manja ili jednaka minimalnoj dužini lozinke. Ako je ova postavka definisana i veća od postavke minimalne dužine lozinke, a dužina lozinke novog naloga manja je od ove postavke, izdaće se događaj nadzora. |
Putanja smernica i ime postavke, podržane verzije |
Opis |
Putanja smernica: Smernice za konfiguraciju računara > Windows Postavke > bezbednost Postavke > Smernice za nalog –> Smernice za lozinku -> Opustite minimalna ograničenja dužine lozinke Ime postavke: RelaxMinimumPasswordLengthLimitsPodržano u:
Ponovno pokretanje nije neophodno |
Opuštanje minimalnih ograničenja zastarele dužine lozinke Ova postavka kontroliše da li se postavka minimalne dužine lozinke može povećati izvan zastarelo ograničenja od 14. Ako ova postavka nije definisana, na ne više od 14 mogu da se konfigurišu minimalna dužina lozinke. Ako je ova postavka definisana i onemogućena, na manje od 14 možda će se konfigurisati minimalna dužina lozinke. Ako je ova postavka definisana i omogućena, minimalna dužina lozinke može da se konfiguriše više od 14. Dodatne informacije potražite u https://go.microsoft.com/fwlink/?LinkId=2097191. |
Putanja smernica i ime postavke, podržane verzije |
Opis |
Putanja smernica: Smernice za konfiguraciju računara > Windows Postavke > bezbednost Postavke > Smernice za nalog -> smernica za lozinku -> Ime postavke za minimalnu dužinu lozinke: MinimumPasswordLengthPodržano u:
Ponovno pokretanje nije neophodno |
Ova bezbednosna postavka određuje najmanji broj znakova koje lozinka za korisnički nalog može da sadrži. Maksimalna vrednost ove postavke zavisi od vrednosti postavke Opuštanje minimalnih ograničenja dužine lozinke. Ako postavka Opusti minimalna ograničenja dužine lozinke nije definisana, ova postavka može da se konfiguriše od 0 do 14. Ako je postavka Odmaraj minimalnu dužinu lozinke definisana i onemogućena, ova postavka može da se konfiguriše od 0 do 14. Ako je postavka Opuštanje minimalnih ograničenja dužine lozinke definisana i omogućena, ova postavka može da se konfiguriše od 0 do 128. Postavljanje zahtevanog broja znakova na 0 znači da lozinka nije potrebna. Napomišite Računari članova podrazumevano prate konfiguraciju svojih kontrolera domena. Podrazumevane vrednosti:
Konfigurisanje ove postavke veće od 14 može da utiče na kompatibilnost sa klijentima, uslugama i aplikacijama. Preporučujemo da ovu postavku veću od 14 konfigurišete samo pošto koristite postavku nadzora Minimalne dužine lozinke da biste testirali potencijalne nekompatibilnosti u novoj podešaciji. |
Windows poruka evidencije događaja
Tri nove poruke evidencije ID-a događaja uključene su kao deo ove dodatne podrške.
ID događaja 16977
ID događaja 16977 će se evidentirati kada se postavke smernica MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsili MinimumPasswordLengthAudit prvo konfiguriraju ili izmene u smernicama grupe. Ovaj događaj će biti prijavljen samo u DCs. Vrednost RelaxMinimumPasswordLengthLimits evidentiraće se samo u sistemima Windows Server, Verzija 2004 i novije verzije DCs.
Evidencija događaja |
Sistem |
Izvor događaja |
Directory-Services-SAM |
ID događaja |
16977 |
Nivo |
Informacije |
Tekst poruke o događaju |
Domen se konfiguriše pomoću sledećih minimalnih postavki u vezi sa dužinom lozinke. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Dodatne informacije potražite u https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID događaja 16978
ID događaja 16978 biće evidentiran kada se promeni lozinka naloga, a lozinka je kraća od trenutne postavke MinimumPasswordLengthAudit.
Evidencija događaja |
Sistem |
Izvor događaja |
Directory-Services-SAM |
ID događaja |
16978 |
Nivo |
Informacije |
Tekst poruke o događaju |
Sledeći nalog je konfigurisan tako da koristi lozinku čija je dužina kraća od trenutne postavke MinimumPasswordLengthAudit. ImeNalozi: MinimumPasswordLength: MinimumPasswordLengthAudit:Dodatne informacije potražite u https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID događaja 16979 prinudne primene
ID događaja 16979 će biti evidentiran kada postavke smernica grupe nadzora budu pogrešno konfigurisane. Ovaj događaj će biti prijavljen samo u DCs. Vrednost RelaxMinimumPasswordLengthLimits evidentiraće se samo u sistemima Windows Server, Verzija 2004 i novije verzije DCs. Ovo je zbog primene.
Evidencija događaja |
Sistem |
Izvor događaja |
Directory-Services-SAM |
ID događaja |
16979 |
Nivo |
Greška |
Tekst poruke o događaju |
Domen je pogrešno konfigurisan sa postavkom MinimumPasswordLength koja je veća od 14, dok je RelaxMinimumPasswordLengthLimits nedefinisan ili onemogućen. Napomišite Dok se to ne ispravi, domen nameće manju postavku minimumPasswordLength od 14. Trenutno konfigurisana vrednost MinimumPasswordLength:Dodatne informacije potražite u https://go.microsoft.com/fwlink/?LinkId=2097191. |
Nadgledanje ID-a događaja 16979
ID događaja 16979 će biti evidentiran kada postavke smernica grupe nadzora budu pogrešno konfigurisane. Ovaj događaj će biti prijavljen samo u DCs. Jedna nova poruka evidencije događaja uključena je za nadzor u sklopu ove dodatne podrške.
Evidencija događaja |
Sistem |
Izvor događaja |
Directory-Services-SAM |
ID događaja |
16979 |
Nivo |
Greška |
Tekst poruke o događaju |
Domen je pogrešno konfigurisan sa postavkom MinimumPasswordLength koja je veća od 14. Napomišite Dok se to ne ispravi, domen nameće manju postavku minimumPasswordLength od 14. Trenutno konfigurisana vrednost MinimumPasswordLength: Dodatne informacije potražite u https://go.microsoft.com/fwlink/?LinkId=2097191. |
Uputstvo za promenu lozinke softvera
Koristite maksimalnu dužinu lozinke prilikom postavljanja lozinke u softveru.
Istorija
Iako je celokupna Microsoft bezbednosna strategija čvrsto usredsređena na buduću bez lozinke, mnogi klijenti ne mogu da migriraju od lozinki u kratkom roku. Neki korisnici svesni bezbednosti žele da mogu da konfiguriše postavku minimalne dužine lozinke podrazumevanog domena koja je veća od 14 znakova (na primer, klijenti bi to mogli da uče od korisnika da koriste duže lozinke umesto tradicionalnih kratkih, jedinstvenih lozinki od jednog tokena). U podršci za ovaj zahtev, Windows Ispravke u aprilu 2018. za Windows Server 2016 omogućile su promenu smernica grupe koja je povećala minimalnu dužinu lozinke sa 14 na 20 znakova. Iako se ova promena pojavljivala kao da podržava dužu lozinku, ona je na kraju nedovoljna i odbačena je nova vrednost kada je primenjena smernica grupe. Ova odbacivanja su tiha i zahtevana detaljna testiranja da bi se utvrdilo da sistem ne podržava duže lozinke. Ispravka za sloj "Security Account Manager (SAM)" uključena je za Windows Server 2016 i Windows Server 2019 kako bi se sistemu omogućilo da ispravno funkcioniše od kraja do kraja sa minimalnom dužinom lozinke većom od 14 znakova. Ispravka za sloj "Security Account Manager (SAM)" uključena je za Windows Server 2016 i Windows Server 2019 kako bi se sistemu omogućilo da ispravno funkcioniše od kraja do kraja sa minimalnom dužinom lozinke većom od 14 znakova.
Postavka smernica MinimumPasswordLength dugo ima dostupan opseg od 0 do 14 (mnogo prečica) na svim Microsoft platformama. Ova postavka se odnosi i na lokalne Windows bezbednosti i na Active Directory (i na NT4 domene pre toga). Vrednost nula (0) podrazumeva da lozinka nije potrebna za bilo koji nalog.
U prethodnim verzijama programa Windows, korisnički korisnički nalog smernica grupe nije omogućio postavljanje minimalne potrebne lozinke dužine duže od 14 znakova. Međutim, u aprilu 2018. objavili smo ispravke za Windows 10 koje su u UI smernica grupe dodale podršku za više od 14 znakova, kao deo ispravki kao što su:
-
KB 4093120:17. april 2018. – KB4093120 (re4393.2214)
Ovo ažuriranje je obuhvatalo sledeći tekst natpisa izdanja:
"Povećava minimalnu dužinu lozinke u smernicama grupe na 20 znakova."
Neki klijenti koji su instalirali izdanja iz aprila 2018, kao i zamenske ispravke, otkrili su da i dalje ne mogu da koriste lozinke veće od 14 znakova. Istraživanje je utvrdilo da dodatne ispravke treba da se instaliraju na računarima uloga u DC-u koji služe za servisiranje lozinki većih od 14 znakova koje su definisane u smernicama za lozinke. Sledeće ispravke su omogućene za Windows Server 2016, Windows 10, verziju 1607 i početno izdanje kontrolera domena Windows 10 za prijavljivanje usluge i zahteve za potvrdu identiteta sa lozinkama većim od 14 znakova:
-
KB 4467684:27. novembar 2018. – KB4467684 (re44393.2639)
Ovo ažuriranje je obuhvatalo sledeći tekst natpisa izdanja:
"Rešava problem koji sprečava kontrolere domena da primene smernice za lozinke smernica grupe kada je konfigurisana minimalna dužina lozinke da bude veća od 14 znakova."
-
KB 4471327:11. decembar 2018. – KB4471321 (rebuka OS 14393.2665)
Neki klijenti su u smernicama definisali lozinke veće od 14 znakova pošto su instalirali ispravke od aprila 2018. do oktobra 2018. koje su u suštini ostale neaktivne do novembra 2018. i decembra 2018. ili kada su osnovni kontrolori domena omogućili kontrolorima domena većim od 14 znakova, i time uklonili vezu ka vremenu/uzroku između funkcija i aplikacija za smernice. Bilo da ste instalirali ispravke za smernice grupe i kontrolera domena u isto vreme ili ne, možda ćete videti sledeće strane efekata:
-
Izloženi problemi sa aplikacijama koje trenutno nisu kompatibilne sa lozinkama većim od 14 znakova.
-
Izloženi problemi kada domeni koji se sastoje od mešavine izdanje verzije sistema Windows Server 2019 ili ažuriranih DC-ova verzije 2016 koji podržavaju lozinke veće od 14 znakova i starije od Windows Server 2016 DC-ova koji ne podržavaju lozinke veće od 14 znakova (sve dok ne postoje backports (sve dok ne budu vraćeni znakovi i instalirani za Windows Server 2016).
-
Kada instalirate KB4467684,usluga klastera možda neće početi sa greškom "2245 (NERR_PasswordTooShort)" ako je smernica grupe "Minimalna dužina lozinke" konfigurisana sa više od 14 znakova.
Uputstvo za ovaj poznati problem bilo je postavljanje podrazumevane smernice "Minimalna dužina lozinke" na manje od ili jednako 14 znakova. Radimo na rešenju i obezbedićemo ispravku u predstojećem izdanju.
Zbog ranijih problema, podrška na strani DC za lozinke veća od 14 znakova uklonjena je u ispravkama iz januara 2019. kako se funkcija ne bi koristila.