Nadzor i provođenje minimalne duljine lozinke na određenim verzijama Windows

Sažetak

Windows 10 ažuriranja objavljena 18. kolovoza 2020. dodaje podršku za sljedeće:

• Događaji nadzora da biste utvrdili podržavaju li aplikacije i servisi lozinke od 15 znakova ili dulje.

• Provođenje minimalnih duljina lozinki od 15 znakova ili više na servisu Windows Server, verzija 2004 kontrolera domena (DCs).

Podržane verzije Windows

Nadzor duljine lozinki podržan je u sljedećim verzijama programa Windows. Provođenje minimalnih duljina lozinki od 15 znakova ili više podržano je u sustavu Windows Server, verziji 2004 i novijim verzijama Windows.

Predložena implementacija

Smjernice za implementaciju

Da biste dodali podršku za nadzor i provedbu minimalne duljine lozinke, slijedite ove korake:

1. Implementirajte ažuriranje na svim podržanim Windows na svim kontrolerima domena.

   1. Kontroler domene: ažuriranja i novija ažuriranja omogućuju podršku na svim DC-ovima radi provjere autentičnosti korisničkih ili servisnih računa konfiguriranih za korištenje lozinki veće od 14 znakova.

   2. Administrativna radna stanica: implementirajte ažuriranja na administrativne radne stanice da biste omogućili primjenu novih postavki pravilnika grupe na DC-ove.

2. Omogućite postavku Pravilnika grupe MinimumPasswordLengthAudit na domeni ili šumama u kojoj su potrebne dulje obavezne lozinke. Ta bi postavka pravilnika trebala biti omogućena u pravilniku zadanog kontrolora domene povezanom s organizacijskom jedinicom kontrolera domene (OU).

3. Preporučujemo da pravilnik nadzora omogućite tri do šest mjeseci da biste otkrili sav softver koji ne podržava lozinke veće od 14 znakova.

4. Monitor domains for Directory-Services-SAM 16978 events logged against software that managed passwords for three to six months. Ne morate nadzirati događaje direktorija i servisa SAM 16978 prijavljenih na korisničke račune.

   1. Ako je to moguće, konfigurirajte softver tako da koristi dulji broj lozinki.

   2. Radite s dobavljačem softvera da biste ažurirali softver da biste koristili dulje lozinke.

   3. Implementirajte pravilnik o zaštiti lozinki za ovaj račun pomoću vrijednosti koja odgovara duljini lozinke koju koristi softver.

   4. Za softver koji upravlja lozinkama računa, ali ne koristi automatski dugačke lozinke i ne može se konfigurirati za korištenje dugih lozinki, za te račune može se koristiti pravilnik o zaštiti lozinki.

5. Nakon rješavanja svih događaja directory-services-SAM 16978 omogućite minimalnu lozinku. Da biste to učinili, učinite sljedeće:

   1. Implementacija verzije Windows poslužitelja koja podržava implementaciju na svim DC-ovima (uključujući Read-Only DC-ove).

   2. Omogućite pravilnik grupe RelaxMinimumPasswordLengthLimits na svim DC-ovima.

   3. Konfigurirajte pravilnik grupe MinimumPasswordLength na svim DC-ovima.

Pravilnik grupe

Windows zapisnika događaja

Tri nove poruke zapisnika ID-a događaja obuhvaćene su ovom dodanom podrškom.

Smjernice za promjenu lozinke za softver

Prilikom postavljanja lozinke u softveru koristite maksimalnu duljinu lozinke.

Povijest

Premda je cjelokupna Microsoftova sigurnosna strategija čvrsto fokusirana na budućnost bez lozinke, mnogi korisnici ne mogu migrirati dalje od lozinki za kratkoročno-srednje razdoblje. Neki korisnici koji su svjesni sigurnosti žele konfigurirati zadanu postavku minimalne duljine lozinke za domenu koja je veća od 14 znakova (na primjer, korisnici to mogu učiniti nakon što navedu svoje korisnike da koriste dulje pristupne izraze umjesto tradicionalnih kratkih, jednostrukih lozinki za tokene). Da biste podržali taj zahtjev, Windows ažuriranja u travnju 2018. za Windows Server 2016 omogućila je promjenu pravilnika grupe koja je povećala minimalnu duljinu lozinke od 14 do 20 znakova. Premda je ta promjena podržavala dulji broj lozinki, u konačnici nije bila dovoljna i odbacila je novu vrijednost prilikom primjene pravilnika grupe. Odbijanja su bila tiha i potrebna su detaljna testiranja da bi se utvrdilo da sustav ne podržava dulje lozinke. Za Windows Server 2016 i Windows Server 2019 obuhvaćeno je daljnje ažuriranje sloja Upravitelj sigurnosnog računa (SAM) da bi sustav ispravno funkcionirao s kraja na kraj s minimalnom duljinom lozinke većom od 14 znakova. Za Windows Server 2016 i Windows Server 2019 obuhvaćeno je daljnje ažuriranje sloja Upravitelj sigurnosnog računa (SAM) da bi sustav ispravno funkcionirao s kraja na kraj s minimalnom duljinom lozinke većom od 14 znakova.

Postavka pravilnika MinimumPasswordLength na svim Microsoftovim platformama imala je dopušten raspon od 0 do 14 . Ta se postavka odnosi i na lokalne Windows i na Active Directory (i NT4 domene prije toga). Vrijednost nula (0) podrazumijeva da za bilo koji račun nije potrebna lozinka.

U starijim verzijama Windows pravilnik grupe nije omogućio postavljanje minimalnih potrebnih duljina lozinki duljih od 14 znakova. No u travnju 2018. objavili smo ažuriranja Windows 10 koja su dodala podršku za više od 14 znakova u UI pravilniku grupe kao dio ažuriranja kao što su:

• KB 4093120: 17. travnja 2018. – KB4093120 (međuverzija OS-a 14393.2214)

Ovo ažuriranje obuhvaćalo je sljedeći tekst napomene o izdanju:

"Povećava minimalnu duljinu lozinke u pravilniku grupe na 20 znakova".

Neki korisnici koji su instalirali izdanja iz travnja 2018. i nadomjesna ažuriranja otkrili su da i dalje ne mogu koristiti lozinke veće od 14 znakova. Istraživanje je utvrdilo da su potrebna dodatna ažuriranja koja je potrebno instalirati na računala s ulogama za DC koja servisuju lozinke veće od 14 znakova definirane pravilnikom za lozinke. Sljedeća su ažuriranja omogućila Windows Server 2016, Windows 10, verzija 1607 i početno izdanje kontrolera domena sustava Windows 10 za prijavu servisa i zahtjeve za provjeru autentičnosti s više od 14 znakova lozinki:

• KB 4467684: 27. studenog 2018. – KB4467684 (međuverzija OS-a 14393.2639)

Ovo ažuriranje obuhvaćalo je sljedeći tekst napomene o izdanju:

"Rješava problem koji sprječava kontrolere domene da primjenjuju pravilnik lozinke pravilnika grupe kada je minimalna duljina lozinke konfigurirana tako da bude veća od 14 znakova."

• KB 4471327: 11. prosinca 2018. – KB4471321 (međuverzija OS-a 14393.2665)

Neki korisnici definirali su više od 14 znakova lozinki u pravilniku nakon instalacije ažuriranja za travanj 2018. do listopada 2018., koja su u osnovi ostala neaktivna do ažuriranja za studeni 2018. i prosinca 2018. ili nativni kontroleri domena omogućeni za OPERACIJSKI SUSTAV radi servisa koji su u pravilniku veći od 14 znakova, čime se uklanja veza na vrijeme/zagušenje između omogućivanja značajki i aplikacije pravilnika. Bez obzira na to jeste li istodobno instalirali ažuriranja pravilnika grupe i kontrolera domene, možda ćete vidjeti sljedeće nuspojave:

• Izloženi problemi s aplikacijama koje trenutno nisu kompatibilne s lozinkama većim od 14 znakova.

• Izloženi problemi kada se domene koje se sastoje od mješavine verzije izdanja sustava Windows Server 2019 ili ažuriranih 2016 DC-ova koji podržavaju više od 14 znakova lozinki i PREDMEŠETANIH RAČUNALA sustava Windows Server 2016 koji ne podržavaju veće od 14 znakova lozinke (dok ne postoje backports i instaliraju se za Windows Server 2016).

• Nakon instalacije ažuriranja KB4467684servis klastera možda neće uspjeti započeti s pogreškom "2245 (NERR_PasswordTooShort)" ako je pravilnik grupe "Minimalna duljina lozinke" konfiguriran s više od 14 znakova.

  Smjernice za taj poznati problem bilo je postavljanje zadanog pravilnika domene "Minimalna duljina lozinke" na manje od ili jednako 14 znakova. Radimo na rješavanju ovog problema i omogućit ćemo ažuriranje u jednom od sljedećih izdanja.

Zbog starijih problema podrška za DC za lozinke veće od 14 znakova uklonjena je u ažuriranjima za siječanj 2019. da se značajka ne bi koristila.