摘要
Windows 10 2020 年 8 月 18 日发布的更新增加了对以下内容的支持:
-
审核事件,确定应用程序和服务是否支持 15 个字符或更长的密码。
-
在 Windows Server、版本 2004 域控制器和) 上强制执行 15 个字符 (长度。
支持的版本Windows
以下版本支持对密码长度进行审核Windows。 Windows Server、版本 2004 和更高版本的 Windows 支持强制使用 15 个字符或 15 个字符Windows。
Windows 版本 |
KB |
支持 |
Windows 10,版本 2004 Windows Server 版本 2004 |
包含在已发布版本中 |
强制 审核 |
Windows 10,版本 1909 Windows Server 版本 1909 |
审核 |
|
Windows 10,版本 1903 Windows服务器版本 1903 |
审核 |
|
Windows 10 版本 1809Windows服务器版本 1809 Windows Server 2019 |
审核 |
|
Windows 10,版本 1607 Windows Server 2016 |
审核 |
建议的部署
域控制器 |
管理工作站 |
|
审核: 如果仅审核低于最小值的密码使用情况,则按如下所示进行部署。 |
将更新部署到需要审核的所有受支持的 DC。 |
为新的组策略设置将更新部署到受支持的管理工作站。 使用这些工作站部署更新的组策略。 |
强制: 如果需要实施最短长度的密码,请部署,如下所示。 |
Windows服务器,版本 2004DC。 所有 DC 必须位于此版本或更高版本中。 无需其他更新。 |
使用 Windows 10 版本 2004。 此版本中包含用于强制执行的新组策略设置。 使用这些工作站部署更新的组策略。 |
部署指南
若要添加对最小 密码长度审核 和强制执行的支持,请执行以下步骤:
-
在所有域控制器上的所有受支持的 Windows版本上部署更新。
-
域控制器:更新和更高版本支持所有域控制器,以对配置为使用超过 14 个字符的密码的用户或服务帐户进行身份验证。
-
管理工作站:将更新部署到管理工作站,以允许将新的组策略设置应用到 DC。
-
-
在需要较长密码的域或林上启用 MinimumPasswordLengthAudit 组策略设置。 应在链接到域控制器组织单位的默认域控制器策略中启用此策略设置 (OU) 。
-
建议使审核策略启用三到六个月,以检测所有不支持密码超过 14 个字符的软件。
-
监视针对管理密码 3 到 6 个月的软件记录的 Directory-Services-SAM 16978 事件的域。 不需要监视针对用户帐户记录的 Directory-Services-SAM 16978 事件。
-
如果可能,请配置软件以使用更长的密码长度。
-
与软件供应商合作,更新软件以使用较长的密码。
-
使用与 软件使用的密码 长度匹配的值为此帐户部署精细密码策略。
-
-
解决所有 Directory-Services-SAM 16978 事件后,启用最小密码。 为此,请按以下步骤操作:
-
部署支持在所有WINDOWS(包括所有 DC)上 (强制Read-Only的) 。
-
在所有DC 上启用 RelaxMinimumPasswordLengthLimits 组策略。
-
在所有 DC 上配置 MinimumPasswordLength 组策略。
-
组策略
策略路径和设置名称,支持的版本 |
说明 |
策略路径: 计算机配置> Windows 设置 >安全设置 >策略 -> 密码策略 ->最小密码长度审核 设置名称:MinimumPasswordLengthAudit支持:
不需要重启 |
最小密码长度审核 此安全性设置确定发出密码长度审核警告事件的最小密码长度。 此设置可以配置为 1 到 128。 只有在尝试确定增大环境中的最小密码长度设置的潜在影响时,才应启用和配置此设置。 如果未定义此设置,将不会发出审核事件。 如果定义了此设置且小于或等于最小密码长度设置,则不会发出审核事件。 如果定义了此设置并大于最小密码长度设置,并且新帐户密码的长度小于此设置,将发出审核事件。 |
策略路径和设置名称,支持的版本 |
说明 |
策略路径: 计算机配置> Windows 设置 >安全设置 >策略 -> 密码策略 ->放宽最小密码长度限制 设置名称:RelaxMinimumPasswordLengthLimits支持:
不需要重启 |
放宽最小密码长度旧限制 此设置控制是否可以将最小密码长度设置增加到超过旧限制 14。 如果未定义此设置,最小密码长度可能配置为不超过 14。 如果已定义和禁用此设置,最小密码长度可能配置为不超过 14。 如果定义并启用此设置,最小密码长度可能配置为超过 14。 |
策略路径和设置名称,支持的版本 |
说明 |
策略路径: 计算机配置> Windows 设置 >安全设置 >策略 -> 密码策略 ->最小密码长度 设置名称:MinimumPasswordLength支持:
不需要重启 |
此安全性设置确定用户帐户的密码可以包含的字符数最少。 此设置的最大值取决于"放宽最小密码长度限制"设置的值。 如果未定义"放宽最小密码长度限制"设置,则此设置可能配置为 0 到 14。 如果定义了并禁用了"放宽最小密码长度限制"设置,则此设置可能配置为 0 到 14。 如果定义了并启用了"放宽最小密码长度限制"设置,则此设置可以配置为从 0 到 128。 将所需字符数设置为 0 意味着不需要密码。 注意 默认情况下,成员计算机遵循其域控制器的配置。 默认值:
配置大于 14 的此设置可能会影响与客户端、服务和应用程序的兼容性。 建议仅在使用"最小密码长度审核"设置来测试新设置的潜在不兼容性后,才配置大于 14 的此设置。 |
Windows事件日志消息
此添加的支持包含三条新的事件 ID 日志消息。
事件 ID 16977
最初在组策略中配置或修改 MinimumPasswordLength、RelaxMinimumPasswordLengthLimits 或MinimumPasswordLengthAudit策略设置时,将记录事件 ID 16977。 此事件将仅记录在DC 上。 RelaxMinimumPasswordLengthLimits值将仅记录在 Windows Server、版本 2004 和更高版本的编解码器中。
事件日志 |
系统 |
事件源 |
Directory-Services-SAM |
事件 ID |
16977 |
级别 |
信息 |
事件消息文本 |
域是使用以下与密码长度相关的最低设置配置的。 MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit: |
事件 ID 16978
更改帐户密码并且密码短于当前 MinimumPasswordLengthAudit 设置时,将记录事件 ID 16978。
事件日志 |
系统 |
事件源 |
Directory-Services-SAM |
事件 ID |
16978 |
级别 |
信息 |
事件消息文本 |
以下帐户配置为使用长度短于当前 MinimumPasswordLengthAudit 设置 的密码。 AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit: |
事件 ID 16979 强制
错误配置审核组策略设置时,将记录事件 ID 16979。 此事件将仅记录在DC 上。 RelaxMinimumPasswordLengthLimits值将仅记录在 Windows Server,版本 2004 和更高版本的 DCS 中。 这是为了强制执行。
事件日志 |
系统 |
事件源 |
Directory-Services-SAM |
事件 ID |
16979 |
级别 |
错误 |
事件消息文本 |
域配置了大于 14 的 MinimumPasswordLength 设置, 而 RelaxMinimumPasswordLengthLimits 未定义或已禁用。 注意 在更正之前,域将强制实施较小的 MinimumPasswordLength 设置 14。 当前配置的 MinimumPasswordLength 值: |
事件 ID 16979 审核
错误配置审核组策略设置时,将记录事件 ID 16979。 此事件将仅记录在DC 上。 作为此添加的支持的一部分,为审核包含一条新的事件日志消息。
事件日志 |
系统 |
事件源 |
Directory-Services-SAM |
事件 ID |
16979 |
级别 |
错误 |
事件消息文本 |
域配置有一个大于 14 的 MinimumPasswordLength 设置。 注意 在更正此错误之前,域将强制实施较小的MinimumPasswordLength设置为14。 当前配置的 MinimumPasswordLength 值: |
软件密码更改指南
在软件中设置密码时,请使用最大密码长度。
历史记录
尽管 Microsoft 的总体安全策略专注于无密码的未来,但许多客户无法在中短期从密码迁移。 一些有安全意识的客户希望能够配置大于 14 个字符的默认域最小密码长度设置 (例如,客户在培训其用户使用较长的通行短语而不是传统的短单令牌密码) 后可能会这样做。 为了支持此请求,Windows 2018 年 4 月更新 Windows Server 2016 启用了组策略更改,将最小密码长度从 14 个字符增加到 20 个字符。 虽然此更改似乎支持较长的密码,但最终不足,在应用组策略时拒绝了新值。 这些拒绝是无提示的,需要详细测试才能确定系统不支持较长的密码。 Windows Server 2016 和 Windows Server 2019 均包含安全帐户管理器 (SAM) 层后续更新,以使系统能够正确端到端地工作,并且最小密码长度大于 14 个字符。 Windows Server 2016 和 Windows Server 2019 均包含安全帐户管理器 (SAM) 层后续更新,以使系统能够正确端到端地工作,并且最小密码长度大于 14 个字符。
MinimumPasswordLength策略设置的允许范围为 0 到 14 很长一段时间, (Microsoft 平台上) 数十年。 此设置适用于本地域Windows设置以及 Active Directory (域和 NT4 域,) 。 值为 0 (0) 表示任何帐户都不需要密码。
在早期版本的 Windows,组策略 UI 未启用设置超过 14 个字符的最小所需密码长度。 但是,在 2018 年 4 月,我们发布了 Windows 10 更新,在组策略 UI 中添加了对超过 14 个字符的支持,作为更新的一部分,例如:
-
KB 4093120:2018年 4 月 17 日 — KB4093120 (OS 内部版本 14393.2214)
此更新包含以下发行说明文本:
"将组策略中的最小密码长度增大到 20 个字符。"
某些安装了 2018 年 4 月版本并取代更新的客户发现,他们仍然不能使用超过 14 个字符的密码。 调查发现,需要为密码策略中定义的超过 14 个字符的密码服务的 DC 角色计算机上安装其他更新。 以下更新启用了 Windows Server 2016、Windows 10、版本 1607 和 Windows 10 域控制器的初始版本,以使用超过 14 个字符的密码进行服务登录和身份验证请求:
-
KB 4467684:2018年 11 月 27 日 — KB4467684 (OS 内部版本 14393.2639)
此更新包含以下发行说明文本:
"解决当最小密码长度配置为大于 14 个字符时阻止域控制器应用组策略密码策略的问题。"
-
KB 4471327:2018年 12 月 11 日 — KB4471321 (OS 内部版本 14393.2665)
某些客户在安装 2018 年 4 月到 2018 年 10 月更新后在策略中定义了超过 14 个字符的密码,这些更新在 2018 年 11 月到 2018 年 12 月更新之前基本上处于休眠状态,或者启用了本机 OS 的域控制器在策略中为超过 14 个字符的密码提供服务,从而消除了功能启用与策略应用程序之间的时间/影响链接。 无论你是否同时安装了组策略和域控制器更新,都可能会看到以下副作用:
-
暴露了当前与超过 14 个字符的密码不兼容的应用程序的问题。
-
如果域混合了 Windows Server 2019 的发布版本或更新后的 2016 个 DCS,并且支持超过 14 个字符的密码和不支持超过 14 个字符的密码的 pre-Windows Server 2016,但不支持超过 14 个字符的密码的域 (,则这些域存在并且为 Windows Server 2016) 安装。
-
安装 KB4467684后,如果组策略"最小密码长度"配置为超过 14 个字符,群集服务可能无法启动并出现错误"2245 (NERR_PasswordTooShort) "。
此已知问题的指南是,将域默认"最小密码长度"策略设置为小于或等于 14 个字符。 我们正在努力解决问题,并将在即将推出的版本中提供更新。
由于前面的问题,在 2019 年 1 月更新中删除了对超过 14 个字符的密码的 DC 端支持,因此无法使用该功能。