摘要
Windows 10 2020 年 8 月 18 日發佈的更新新增下列支援:
-
稽核事件以識別應用程式和服務是否支援 15 個字元或較長的密碼。
-
強制執行在 Windows Server、版本 2004 網域控制站或 DC 上 15 個字元 (長度) 。
支援的版本Windows
下列版本支援密碼長度的稽核Windows。 在 Windows Server、版本 2004 和較新版本的 Windows 中,支援強制執行 15 個字元或 15 個字元Windows。
|
Windows 版本 |
K b |
支援 |
|
Windows 10版本 2004 Windows Server 版本 2004 |
包含在發行版本本中 |
強制執行 審計 |
|
Windows 10版本 1909 Windows Server 版本 1909 |
審計 |
|
|
Windows 10版本 1903 Windows伺服器版本 1903 |
審計 |
|
|
Windows 10 版本 1809Windows伺服器版本 1809 Windows Server 2019 |
審計 |
|
|
Windows 10版本 1607 Windows Server 2016 |
審計 |
建議的部署
|
網域控制站 |
系統管理工作站 |
|
|
審計: 如果只要稽核低於最小值的密碼使用量,則部署方式如下。 |
將更新部署到所有需要稽核的支援的 DCs。 |
將更新部署到支援的新群組原則設定系統管理工作站。 使用這些工作站來部署更新的群組原則。 |
|
執法: 如果需要最小長度密碼強制執行,則部署方式如下。 |
Windows伺服器,版本 2004 DCs。 所有 DCs 都必須是此版本或更新版本。 不需要其他更新。 |
使用 Windows 10版本 2004。 此版本包含強制執行的新群組原則設定。 使用這些工作站來部署更新的群組原則。 |
部署指導方針
若要新增最低密碼 長度 稽核與強制執行的支援,請遵循下列步驟:
-
在所有網域控制站上部署所有支援Windows版本上的更新。
-
網域控制站:更新及更新可啟用所有 DC 上的支援,以驗證已設成使用大於 14 個字元密碼的使用者或服務帳戶。
-
系統管理工作站:將更新部署到系統管理工作站,以允許將新的群組原則設定適用于 DCs。
-
-
在需要較長密碼的網域或林中啟用 MinimumPasswordLengthAudit 群組原則設定。 此策略設定應在連結至網域控制站組織單位或 OU (中啟用) 。
-
建議您將稽核政策保留啟用 3 到 6 個月,以偵測所有不支援超過 14 個字元之密碼的軟體。
-
監控目錄-Services-SAM 16978 事件所記錄的網域,這些事件是由管理密碼的軟體所記錄,為期 3 到 6 個月。 您完全不需要監控以使用者客戶紀錄之 Directory-Services-SAM 16978 事件。
-
如果可能的話,請設定軟體以使用較長的密碼長度。
-
請與軟體廠商合作,更新軟體以使用較長的密碼。
-
使用與 軟體所使用的密碼 長度比對的值來部署此帳戶的細細微性密碼原則。
-
-
解決所有 Directory-Services-SAM 16978 事件之後,請啟用最小密碼。 若要這樣做,請依照下列步驟操作:
-
部署支援所有WINDOWS強制的 (版本 Read-Only DCS) 。
-
在所有 DCs 上啟用 RelaxMinimumPasswordLengthLimits Group Policy。
-
在所有 DCs 上設定 MinimumPasswordLength 群組原則。
-
群組原則
|
策略路徑和設定名稱、支援的版本 |
描述 |
|
策略路徑: 電腦群組> Windows 設定 >帳戶設定 >安全性 ->密碼原則 ->密碼長度稽核設定 名稱:MinimumPasswordLengthAudit 支援于:
不需要重新開機 |
最小密碼長度稽核 此安全性設定會決定發出密碼長度稽核警告事件的最小密碼長度。 此設定可能從 1 設定為 1 到 128。 您只有在嘗試判斷增加環境中最小密碼長度設定的潛在影響時,才應啟用並設定此設定。 如果未定義此設定,將不會發佈稽核事件。 如果已定義此設定,且小於或等於最小密碼長度設定,將不會發出稽核事件。 如果已定義此設定,且大於最小密碼長度設定,且新帳戶密碼的長度小於此設定,將會發出稽核事件。 |
|
策略路徑和設定名稱、支援的版本 |
描述 |
|
策略路徑: 電腦群組態> Windows 設定 >帳戶設定 >安全性 -> 密碼原則 ->放鬆最小密碼長度 限制設定名稱:RelaxMinimumPasswordLengthLimits 支援于:
不需要重新開機 |
放鬆最小密碼長度舊版限制 此設定可控制密碼長度下限是否可超過 14 的舊版限制。 如果未定義此設定,最小密碼長度可能設定為不超過 14。 如果已定義並停用此設定,最小密碼長度可能設定為不超過 14。 如果已定義並啟用此設定,最小密碼長度可能會設定為超過 14。 |
|
策略路徑和設定名稱、支援的版本 |
描述 |
|
策略路徑: 電腦群組> Windows 設定 >帳戶設定 >安全性 ->密碼原則 ->密碼長度 設定名稱:MinimumPasswordLength 支援于:
不需要重新開機 |
此安全性設定會決定使用者帳戶密碼可能包含的字元數最少。 此設定的最大值取決於放鬆最小密碼長度限制設定的值。 如果未定義放鬆最小密碼長度限制設定,此設定可能會設定為 0 到 14。 如果已定義並停用了放鬆最小密碼長度限制設定,則此設定可能會設定為 0 到 14。 如果已定義並啟用放鬆最小密碼長度限制設定,此設定可能會設定為 0 到 128。 將所需字元數設定為 0 表示不需要密碼。 注意 根據預設,成員電腦會遵循其網域控制站的組式。 預設值:
設定此設定大於 14 可能會影響與用戶端、服務和應用程式的相容性。 建議您在使用最小密碼長度稽核設定以測試新設定的潛在不相容性後,只設定大於 14 的此設定。 |
Windows事件記錄訊息
新增的這項支援包含三個新的事件識別碼記錄訊息。
事件識別碼 16977
當MinimumPasswordLength、RelaxMinimumPasswordLengthLimits或MinimumPasswordLengthAudit策略設定最初在群組原則中設定或修改時,會記錄事件識別碼 16977。 此事件只會在 DCs 上登入。 RelaxMinimumPasswordLengthLimits值只會記錄在 Windows Server、版本 2004 和較新版本的 DCs 中。
|
事件記錄 |
系統 |
|
事件來源 |
Directory-Services-SAM |
|
事件識別碼 |
16977 |
|
等級 |
資訊 |
|
活動訊息文字 |
網域是使用下列最小密碼長度相關設定來設定。 MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit: |
事件識別碼 16978
當帳戶密碼變更且密碼比目前的 MinimumPasswordLengthAudit 設定短時,會記錄事件識別碼 16978。
|
事件記錄 |
系統 |
|
事件來源 |
Directory-Services-SAM |
|
事件識別碼 |
16978 |
|
等級 |
資訊 |
|
活動訊息文字 |
下列帳戶設定為使用長度小於目前 MinimumPasswordLengthAudit 設定 的密碼。 AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit: |
事件識別碼 16979 強制執行
當稽核群組原則設定設定錯誤時,會記錄事件識別碼 16979。 此事件只會在 DCs 上登入。 RelaxMinimumPasswordLengthLimits值只會記錄在 Windows Server、版本 2004 及更新版本 DCs 中。 這是用於強制執行。
|
事件記錄 |
系統 |
|
事件來源 |
Directory-Services-SAM |
|
事件識別碼 |
16979 |
|
等級 |
錯誤 |
|
活動訊息文字 |
網域的 MinimumPasswordLength 設定不正確,大於 14, 而 RelaxMinimumPasswordLengthLimits 則未定義或停用。 注意 在修正之前,網域會強制執行較小的 MinimumPasswordLength 設定為 14。目前已配置的 MinimumPasswordLength 值: |
事件識別碼 16979 稽核
當稽核群組原則設定設定錯誤時,會記錄事件識別碼 16979。 此事件只會在 DCs 上登入。 此新增支援中包含一個新的事件記錄訊息供稽核使用。
|
事件記錄 |
系統 |
|
事件來源 |
Directory-Services-SAM |
|
事件識別碼 |
16979 |
|
等級 |
錯誤 |
|
活動訊息文字 |
網域的 MinimumPasswordLength 設定不正確,大於 14。 注意 在修正之前,網域會強制執行較小的MinimumPasswordLength設定為14。 目前已配置的 MinimumPasswordLength 值: |
軟體密碼變更指南
在軟體中設定密碼時,請使用密碼長度上限。
[歷程記錄]
雖然 Microsoft 的整體安全性原則是專注在無密碼的未來,但許多客戶無法從短期到中期的密碼進行轉移。 有些注重安全性的客戶想要能夠設定超過 14 個字元的預設網域最小密碼長度設定 (例如,客戶在教導使用者使用較長的密碼組而非傳統的簡短單一權杖密碼) 之後,可能會這麼做。 為了支援這項要求,Windows Server 2016 Windows 2018 年 4 月更新啟用群組原則變更,將最小密碼長度從 14 個字元增加到 20 個字元。 雖然此變更似乎支援較長的密碼,但最終還是不足,且在已採用群組原則時拒絕新值。 這些拒絕是無提示的,需要詳細測試,才能判斷系統不支援較長的密碼。 Windows Server 2016 和 Windows Server 2019 均包含安全性帳戶管理員 (SERVER) 層後續更新,讓系統以長度大於 14 個字元的最小密碼長度正確執行端對端工作。 Windows Server 2016 和 Windows Server 2019 均包含安全性帳戶管理員 (SERVER) 層後續更新,讓系統以長度大於 14 個字元的最小密碼長度正確執行端對端工作。
MinimumPasswordLength政策設定在所有 Microsoft 平臺上長達數十 (0 到 14) 允許的範圍。 此設定同時適用于Windows安全性設定和 Active Directory (NT4 網域,) 。 值為 0 (0) 表示任何帳戶都不需要密碼。
在較舊版本的 Windows,群組原則 UI 未啟用設定長度超過 14 個字元的最低所需密碼長度。 不過,我們在 2018 年 4 月發佈了 Windows 10 更新,新增了群組原則 UI 中超過 14 個字元的支援,做為更新的一部分,例如:
-
KB 4093120:2018 年 4 月 17 日 —KB4093120 (OS 版本 14393.2214)
此更新包含下列版本資訊文字:
「將群組原則中的最小密碼長度增加為 20 個字元」。
部分安裝 2018 年 4 月版本及取代更新的客戶發現,他們仍然無法使用超過 14 個字元的密碼。 調查發現,在 DC 角色電腦上需要安裝其他更新,以維護密碼政策中定義的超過 14 個字元的密碼。 下列更新啟用 Windows Server 2016、Windows 10、版本 1607,以及初次發行 Windows 10 網域控制站,以超過 14 個字元的密碼服務標章和驗證要求:
-
KB 4467684:2018 年 11 月 27 日 —KB4467684 (OS 版本 14393.2639)
此更新包含下列版本資訊文字:
「解決當最小密碼長度已設成大於 14 個字元時,網域控制站無法適用群組原則密碼原則的問題。
-
KB 4471327:2018 年 12 月 11 日 —KB4471321 (OS 版本 14393.2665)
有些客戶在安裝 2018 年 4 月到 2018 年 10 月更新之後,在策略中定義超過 14 個字元的密碼,這些更新基本上維持在 2018 年 11 月與 2018 年 12 月更新之前,或原生作業系統可讓網域控制站在策略中服務超過 14 個字元的密碼,因此移除功能啟用與策略應用程式之間的時間/關係連結。 無論您是否同時安裝群組原則和網域控制站更新,您可能會看到下列副作用:
-
目前與超過 14 個字元的密碼不相容的應用程式所公開的問題。
-
如果網域包含混合發行版本本的 Windows Server 2019 或更新的 2016 DCs,且支援超過 14 個字元的密碼,以及不支援大於 14 個字元密碼的 Windows Server 2016 前電腦 (直到 backports 存在且已安裝 Windows Server 2016) 之前,才會顯示問題。
-
安裝 KB4467684之後,如果群組原則 「最小密碼長度」的群組原則已設成大於 14 個字元,則群組服務可能無法從錯誤 「2245 (NERR_PasswordTooShort) 」開始。
此已知問題的指引是,將網域預設「最小密碼長度」原則設定為小於或等於 14 個字元。 我們正在研究解決方案,並且會在即將發行的版本中提供更新。
由於先前的問題,2019 年 1 月更新中已移除超過 14 個字元密碼的 DC 端支援,因此無法使用此功能。
