Yhteenveto
Windows 10 18. elokuuta 2020 julkaistujen päivitysten tuki lisätään seuraaviin:
-
Tapahtumien valvonta sen tunnistamiseksi, tukevatko sovellukset ja palvelut 15 merkin salasanoja vai pidempiä salasanoja.
-
Vähintään 15 merkin salasanan vähimmäispituuden pakotus Windows Serverin versiossa 2004, toimialueen ohjauskoneissa.
Tuetut Windows
Salasanojen pituuden valvonta on tuettua seuraavissa Windows. Windows Serverin versiossa 2004 ja sitä aiemmissa Windows.
|
Windows-versio |
KB |
Tuki |
|
Windows 10, versio 2004 |
Sisältyy julkaistuon versioon |
Pakotus |
|
Windows 10, versio 1909 |
Valvonta |
|
|
Windows 10, versio 1903 |
Valvonta |
|
|
|
Valvonta |
|
|
Windows 10 Server |
Valvonta |
Ehdotettu käyttöönotto
|
Toimialueen ohjauskoneet |
Hallinta-työt |
|
|
Valvonta: Jos salasanojen käyttö valvotaan vain vähimmäisarvon alapuolella, ota se käyttöön seuraavasti. |
Ota päivitykset käyttöön kaikissa tuetuissa tietomalleissa, joissa valvonta halutaan. |
Ota päivitykset käyttöön uusien ryhmäkäytäntöasetusten tuetuissa järjestelmänvalvojan työasetuksista. Näiden työmalleiden avulla voit ottaa käyttöön päivitetyt ryhmäkäytännöt. |
|
Pakotus: Jos salasanan vähimmäispituus pakotus on tarpeen, ota se käyttöön seuraavasti. |
Windows Server, version 2004 DCs. Kaikissa tietokoneissa on oltava tämä versio tai uudempi versio. Lisäpäivityksiä ei tarvita. |
Käytä Windows 10 versiota 2004. Tähän versioon sisältyvät uudet pakotettavat ryhmäkäytäntöasetukset. Näiden työmalleiden avulla voit ottaa käyttöön päivitetyt ryhmäkäytännöt. |
Käyttöönotto-ohjeet
Jos haluat lisätä vähimmäissalasanan pituuden valvonnan ja valvonnan tuen, toimi seuraavasti:
-
Ota päivitys käyttöön kaikissa tuetuissa Windows kaikissa toimialueen ohjauskoneissa.
-
Toimialueen ohjauskone: Päivitysten ja uudempien päivitysten avulla kaikkien DCs-tietokoneiden tuki todennetaan käyttäjä- tai palvelutileille, jotka on määritetty käyttämään yli 14-merkkisiä salasanoja.
-
Järjestelmänvalvojan työasema: Ota päivitykset käyttöön järjestelmänvalvojan työasemiin, jotta uudet ryhmäkäytäntöasetukset voidaan ottaa käyttöön tietokoneissa.
-
-
Ota käyttöön MinimumPasswordLengthAudit-ryhmäkäytäntöasetus toimialueella tai toimialuepuuryhmässä, jossa tarvitaan pidempiä salasanoja. Tämän käytäntöasetuksen tulisi olla käytössä toimialueen ohjauskoneen oletuskäytännön mukaisesti, joka on linkitetty toimialueen ohjauskoneeseen organisaatioyksikköön (OU).
-
Suosittelemme, että valvontakäytäntö on käytössä kolmen tai kuuden kuukauden ajan, jotta tunnistat kaikki ohjelmistot, jotka eivät tue yli 14-merkkisiä salasanoja.
-
Valvo toimialueita Directory-Services-SAM 16978 -tapahtumissa, jotka on kirjattu ohjelmistoon, joka hallittiin salasanoja kolmesta kuuteen kuukauteen. Käyttäjätilien kautta kirjattuja Directory-Services-SAM 16978 -tapahtumia ei tarvitse valvoa.
-
Jos se on mahdollista, määritä ohjelmisto käyttämään pidempiä salasanoja.
-
Päivitä ohjelmisto käyttämään pidempiä salasanoja yhdessä ohjelmistotoimittajan kanssa.
-
Ota käyttöön tämän tilin hienorakeinen salasanakäytäntö käyttämällä arvoa, joka vastaa ohjelmiston käyttämää salasanan pituutta.
-
Jos ohjelmisto hallitsee tilin salasanoja, mutta ei käytä automaattisesti pitkiä salasanoja eikä sitä voi määrittää käyttämään pitkiä salasanoja, näissä tileissä voidaan käyttää hienosäätöistä salasanakäytäntöä.
-
-
Kun kaikki Directory-Services-SAM 16978 -tapahtumat on käsitelty, ota käyttöön vähimmäissalasana. Voit tehdä tämän seuraavasti:
-
Ota käyttöön Windows Server -versio, joka tukee pakotinta kaikissa tietokoneissa (myös Read-Only tietokoneissa).
-
Ota käyttöön RelaxMinimumPasswordLengthLimits-ryhmäkäytäntö kaikissa tietokoneissa.
-
Määritä MinimumPasswordLength-ryhmäkäytäntö kaikissa DCS-tietokoneissa.
-
Ryhmäkäytäntö
|
Käytäntöpolku ja asetusten nimi, tuetut versiot |
Kuvaus |
|
Käytäntöpolku: Tietokoneen > Windows Asetukset > suojausasetusten Asetukset > -> -> Salasanan vähimmäispituus -valvonta Asetuksen Tuettu:
Uudelleenkäynnistys ei ole pakollinen |
Salasanan vähimmäispituuden valvonta Tämä suojausasetus määrittää vähimmäissalasanan pituuden, jolle annetaan salasanan pituuden varoitustapahtumat. Tämä asetus voi olla määritetty 1–128. Ota tämä asetus käyttöön ja määritä se vain, kun yrität määrittää, miten salasanan vähimmäispituusasetus suurentaisi ympäristön salasanan vähimmäispituutta. Jos tätä asetusta ei ole määritetty, valvontatapahtumia ei myönnetty. Jos tämä asetus on määritetty ja on pienempi tai yhtä suuri kuin salasanan vähimmäispituusasetus, valvontatapahtumia ei myönnetty. Jos tämä asetus on määritetty ja on suurempi kuin salasanan vähimmäispituusasetus ja uuden tilin salasanan pituus on pienempi kuin tämä asetus, valvontatapahtuma myönnetään. |
|
Käytäntöpolku ja asetusten nimi, tuetut versiot |
Kuvaus |
|
Käytäntöpolku: Tietokoneen > Windows Asetukset > suojausasetusten Asetukset > -> -> Relax minimum password length limits Tuettu:
Uudelleenkäynnistys ei ole pakollinen |
Vanhojen salasanojen vähimmäispituuden vähimmäisrajat Tämä asetus määrittää, voidaanko salasanan vähimmäispituusasetusta nostaa vanhan 14:n rajan yli. Jos tätä asetusta ei ole määritetty, salasanan vähimmäispituus voidaan määrittää enintään 14: Jos tämä asetus on määritetty ja poistettu käytöstä, salasanan vähimmäispituus voi olla enintään 14. Jos tämä asetus on määritetty ja käytössä, salasanan vähimmäispituus voi olla määritettynä yli 14. Lisätietoja on kohdassa https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Käytäntöpolku ja asetusten nimi, tuetut versiot |
Kuvaus |
|
Käytäntöpolku: Tietokoneen > Windows Asetukset >-Asetukset > -> -> salasanan vähimmäispituus Asetuksen Tuettu:
Uudelleenkäynnistys ei ole pakollinen |
Tämä suojausasetus määrittää, kuinka monta merkkiä käyttäjätilin salasanassa voi olla. Tämän asetuksen suurin arvo riippuu Salasanan vähimmäispituusrajoitus -asetuksen arvosta. Jos Salasanan vähimmäispituusrajoituksia ei ole määritetty, tämä asetus voidaan määrittää 0–14. Jos Salasanan vähimmäispituusrajoitukset -asetus on määritetty ja poistettu käytöstä, tämä asetus voidaan määrittää 0–14. Jos Salasanan vähimmäispituusrajoitukset -asetus on määritetty ja käytössä, tämä asetus voidaan määrittää 0–128. Kun määrität tarvittavan merkkien määrän arvoksi 0, salasanaa ei tarvita. Huomautus Jäsentietokoneet noudattavat oletusarvoisesti toimialueen ohjauskoneeseensa annettuja määrityksiä. Oletusarvot:
Tämän asetuksen määrittäminen suuremmaksi kuin 14 voi vaikuttaa yhteensopivuuteen asiakkaiden, palveluiden ja sovellusten kanssa. Suosittelemme, että määrität tämän asetuksen suuremmaksi kuin 14 sen jälkeen, kun olet määrittänyt Salasanan vähimmäispituus -valvonta-asetuksen avulla mahdolliset yhteensopimattomuuksia koskevat testit uudessa asetusasetuksessa. |
Windows tapahtumalokiviestit
Tähän lisätyn tuen osana on kolme uutta tapahtumatunnuslokiviestiä.
Tapahtumatunnus 16977
Tapahtumatunnus 16977 kirjataan, kun MinimumPasswordLength,RelaxMinimumPasswordLengthLimits tai MinimumPasswordLengthAudit-käytäntöasetukset määritetään tai muokataan ryhmäkäytännössä. Tämä tapahtuma kirjataan vain tietokoneisiin. RelaxMinimumPasswordLengthLimits-arvo kirjataan vain Windows Serveriin, versioon 2004 ja sitä uudempiin versioihin.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalähde |
Directory-Services-SAM |
|
Tapahtumatunnus |
16977 |
|
Taso |
Tiedot |
|
Tapahtumaviestin teksti |
Toimialue määritetään käyttämällä seuraavia vähimmäissalasanan pituuteen liittyviä asetuksia. MinimumPasswordLength: Lisätietoja on kohdassa https://go.microsoft.com/fwlink/?LinkId=2097191. |
Tapahtumatunnus 16978
Tapahtumatunnus 16978 kirjataan, kun tilin salasana vaihdetaan ja salasana on lyhyempi kuin nykyinen MinimumPasswordLengthAudit-asetus.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalähde |
Directory-Services-SAM |
|
Tapahtumatunnus |
16978 |
|
Taso |
Tiedot |
|
Tapahtumaviestin teksti |
Seuraava tili on määritetty käyttämään salasanaa, jonka pituus on lyhyempi kuin nykyinen MinimumPasswordLengthAudit-asetus. AccountName: Lisätietoja on kohdassa https://go.microsoft.com/fwlink/?LinkId=2097191. |
Tapahtumatunnus 16979-pakotus
Tapahtumatunnus 16979 kirjataan lokiin, kun valvontaryhmäkäytännön asetukset on määritetty väärin. Tämä tapahtuma kirjataan vain tietokoneisiin. RelaxMinimumPasswordLengthLimits-arvo kirjataan vain Windows Serverin versiossa 2004 ja sitä uudemmassa versiossa. Tämä on tätä varten.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalähde |
Directory-Services-SAM |
|
Tapahtumatunnus |
16979 |
|
Taso |
Virhe |
|
Tapahtumaviestin teksti |
Toimialue on määritetty virheellisesti MinimumPasswordLength-asetuksella, joka on suurempi kuin 14, kun taas RelaxMinimumPasswordLengthLimits on määrittämätön tai poistettu käytöstä.
Huomautus Ennen kuin tämä korjataan, toimialue käyttää pienempää MinimumPasswordLength-asetusta 14. Lisätietoja on kohdassa https://go.microsoft.com/fwlink/?LinkId=2097191. |
Tapahtumatunnus 16979-valvonta
Tapahtumatunnus 16979 kirjataan lokiin, kun valvontaryhmäkäytännön asetukset on määritetty väärin. Tämä tapahtuma kirjataan vain tietokoneisiin. Tämän lisätyn tuen osana valvonta sisältyy uuteen tapahtumalokiviestiin.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalähde |
Directory-Services-SAM |
|
Tapahtumatunnus |
16979 |
|
Taso |
Virhe |
|
Tapahtumaviestin teksti |
Toimialueelle on määritetty virheellisesti MinimumPasswordLength-asetus, joka on suurempi kuin 14. Huomautus Ennen kuin tämä korjataan, toimialue käyttää pienempää MinimumPasswordLength-asetusta14. Tällä hetkellä määritetty MinimumPasswordLength-arvo: Lisätietoja on kohdassa https://go.microsoft.com/fwlink/?LinkId=2097191. |
Ohjeita ohjelmiston salasanan vaihtoon
Käytä salasanan enimmäispituutta, kun määrität salasanan ohjelmistossa.
Historia
Vaikka Microsoftin yleinen suojausstrategia keskittyy vähemmän tulevaan salasanaan, monet asiakkaat eivät voi siirtyä pois salasanoista lyhyen tai lyhyen aikavälin aikana. Jotkut tietoturvasyistä käyttävät asiakkaat haluavat määrittää toimialueen vähimmäissalasanan vähimmäispituusasetuksen, joka on suurempi kuin 14 merkkiä (asiakkaat voivat tehdä tämän esimerkiksi sen jälkeen, kun he ovat kouluttaneet käyttäjät käyttämään pidempiä tunnuslauseita perinteisen lyhyen ja yksittäisen tunnussalasanan sijaan). Tämän pyynnön tueksi Windows Server 2016:n Windows Server 2016:n huhtikuun 2018 päivitykset ovat lisänneet salasanan vähimmäispituutta 14–20 merkkiin. Vaikka tämä muutos näytti tukevan pidempiä salasanoja, se oli lopulta riittämätön ja hylännyt uuden arvon, kun ryhmäkäytäntöä sovellettiin. Nämä hylkäykset olivat äänekkäitä ja vaadittiin yksityiskohtaista testausta sen määrittämiseksi, että järjestelmä ei tukenut pidempiä salasanoja. Sekä Windows Server 2016:ssa että Windows Server 2019:ssä on suojaustilin hallinnan (SAM) seurantapäivitys, jotta järjestelmä toimii oikein ja salasanan vähimmäispituus on yli 14 merkkiä. Sekä Windows Server 2016:ssa että Windows Server 2019:ssä on suojaustilin hallinnan (SAM) seurantapäivitys, jotta järjestelmä toimii oikein ja salasanan vähimmäispituus on yli 14 merkkiä.
MinimumPasswordLength-käytäntöasetuksella on ollut sallittu 0–14 pitkä aika (monta vuosikymmentä) kaikissa Microsoft-käyttöympäristöissä. Tämä asetus koskee sekä paikallisia Windows että Active Directorya (ja NT4-toimialueita sitä ennen). Nolla-arvo (0) viittaa siihen, että salasanaa ei tarvita missään tilissä.
Aiemmissa Windows ryhmäkäytännön käyttöliittymä ei sallinut vaadittujen vähimmäissalasanojen pituutta, joka on pidempi kuin 14 merkkiä. Huhtikuussa 2018 julkaistut Windows 10-päivitykset lisättiin ryhmäkäytännön käyttöliittymän yli 14-merkkisille päivityksille, kuten:
-
KB 4093120:17. huhtikuuta 2018 – KB4093120 (käyttöjärjestelmän koontiversio 14393.2214)
Tämä päivitys sisälsi seuraavan julkaisuhuomautustekstin:
"Suurentaa ryhmäkäytännön salasanan vähimmäispituutta 20 merkkiin."
Jotkut asiakkaat, jotka asensivat huhtikuun 2018 julkaisut ja korvavat päivitykset, havaitsivat, että he eivät edelleenkään voineet käyttää yli 14-merkkistä salasanaa. Tutkimus tunnisti, että DC-roolin tietokoneisiin on asennettava lisäpäivityksiä, jotka ylläpitävät salasanakäytännön yli 14-merkkistä salasanaa. Seuraavat päivitykset ovat käytössä Windows Server 2016:ssa, Windows 10:ssä, versiossa 1607 ja Windows 10 Server 2016:n ensimmäisen version kirjautumisissa ja todennuspyynnöissä, joissa on yli 14 merkin salasana:
-
KB 4467684:27. marraskuuta 2018 – KB4467684 (käyttöjärjestelmän koontiversio 14393.2639)
Tämä päivitys sisälsi seuraavan julkaisuhuomautustekstin:
"Korjaa ongelman, joka estää toimialueohjainta soveltamasta ryhmäkäytännön salasanakäytäntöä, kun salasanan vähimmäispituus on määritetty yli 14-merkeiksi."
-
KB 4471327:11. joulukuuta 2018 – KB4471321 (käyttöjärjestelmän koontiversio 14393.2665)
Jotkut asiakkaat ovat määrittäneet käytännön mukaisesti yli 14-merkkiset salasanat huhtikuun 2018 ja lokakuun 2018 päivitysten asentamisen jälkeen. Ne säilyvät käytännössä passiivisina marraskuuhun 2018 ja joulukuuhun 2018 asti ja alkuperäiset käyttöjärjestelmää käyttävät toimialueen ohjauskoneet, jotka päivitivät yli 14-merkkisten salasanojen palveluksi, jolloin ominaisuuksien käyttöönotto ja käytäntösovellusten välinen aika- ja syy-yhteys poistetaan. Oletpa asentanut ryhmäkäytännön ja toimialueen ohjauskoneen päivitykset samaan aikaan tai et, saatat nähdä seuraavat sivutehosteet:
-
Yli 14-merkkisillä salasanoilla yhteensopimattomiin sovelluksiin liittyvät ongelmat.
-
Esiintyneet ongelmat, kun toimialueet, jotka sisältävät yhdistelmän Windows Server 2019:n julkaisuversiosta tai päivitetyistä 2016-tietokoneista, jotka tukevat yli 14-merkkistä salasanaa ja Windows Server 2016 -tietokoneita, jotka eivät tue yli 14-merkkistä salasanaa (kunnes backports on olemassa ja asennetaan Windows Server 2016:lle).
-
KB4467684:nasentamisen jälkeen klusteripalvelu ei ehkä käynnisty virheellä "2245 (NERR_PasswordTooShort)", jos Ryhmäkäytännön Salasanan vähimmäispituus -määrityksessä on yli 14 merkkiä.
Tämän tunnetun ongelman ohjeet olivat toimialueen vähimmäispituuskäytännön (Vähimmäissalasanan pituus) muuttaminen enintään 14 merkin pituiseksi. Kehitämme parhaillaan ratkaisua ja tarjoamme päivityksen tulevassa versiossa.
Aiempien ongelmien vuoksi yli 14-merkkisten salasanojen DC-puolen tuki poistettiin tammikuun 2019 päivityksistä, jotta ominaisuutta ei voi käyttää.
