Riassunto
Windows 10 aggiornamenti rilasciati il 18 agosto 2020 aggiunge il supporto per gli elementi seguenti:
-
Eventi di controllo per determinare se le applicazioni e i servizi supportano password di 15 caratteri o più.
-
Applicazione della lunghezza minima delle password di 15 caratteri o più in Windows Server, controller di dominio (DC) versione 2004.
Versioni supportate di Windows
Il controllo della lunghezza delle password è supportato nelle versioni seguenti di Windows. L'applicazione di una lunghezza minima delle password di almeno 15 caratteri è supportata in Windows Server, versione 2004 e nelle versioni successive di Windows.
|
Versione di Windows |
KB |
Supporto |
|
Windows 10, versione 2004 |
Incluso nella versione rilasciata |
Applicazione |
|
Windows 10, versione 1909 |
Controllo |
|
|
Windows 10, versione 1903 |
Controllo |
|
|
|
Controllo |
|
|
Windows 10, versione 1607 |
Controllo |
Distribuzione suggerita
|
Controller di dominio |
Workstation amministrative |
|
|
Controllo: Se si controlla solo l'utilizzo delle password al di sotto di un valore minimo, eseguire la distribuzione come indicato di seguito. |
Distribuire gli aggiornamenti in tutti i controller di dominio supportati in cui si desidera il controllo. |
Distribuire gli aggiornamenti alle workstation amministrative supportate per le nuove impostazioni di Criteri di gruppo. Usare queste workstation per distribuire criteri di gruppo aggiornati. |
|
Applicazione: Se si desidera applicare la password di lunghezza minima, eseguire la distribuzione come indicato di seguito. |
Windows Server, controller di dominio versione 2004. Tutti i controller di dominio devono essere in questa versione o versione successiva. Non sono necessari altri aggiornamenti. |
Usare Windows 10, versione 2004. Le nuove impostazioni di Criteri di gruppo per l'applicazione sono incluse in questa versione. Usare queste workstation per distribuire criteri di gruppo aggiornati. |
Linee guida per la distribuzione
Per aggiungere il supporto per il controllo e l'applicazione della lunghezza minima delle password, seguire questa procedura:
-
Distribuire l'aggiornamento in tutte le versioni Windows in tutti i controller di dominio.
-
Controller di dominio: gli aggiornamenti e gli aggiornamenti successivi abilitano il supporto in tutti i controller di dominio per autenticare gli account utente o di servizio configurati per l'uso di password di lunghezza superiore a 14 caratteri.
-
Workstation amministrativa: distribuire gli aggiornamenti alle workstation amministrative per consentire l'applicazione delle nuove impostazioni di Criteri di gruppo ai controller di dominio.
-
-
Abilitare l'impostazione di Criteri di gruppo MinimumPasswordLengthAudit in un dominio o una foresta in cui si desiderano password più lunghe. Questa impostazione dei criteri deve essere abilitata nei criteri del controller di dominio predefinito collegati all'unità organizzativa dei controller di dominio.
-
È consigliabile lasciare abilitati i criteri di controllo per tre o sei mesi per rilevare tutto il software che non supporta password di lunghezza superiore a 14 caratteri.
-
Monitorare i domini per gli eventi di Directory-Services-SAM 16978 registrati nel software che ha gestito le password per tre-sei mesi. Non è necessario monitorare gli eventi di Directory-Services-SAM 16978 registrati con gli account utente.
-
Se possibile, configurare il software in modo che usi una lunghezza maggiore della password.
-
Collaborare con il fornitore del software per aggiornare il software in modo da usare password più lunghe.
-
Distribuire criteri granulari per le password per questo account usando un valore che corrisponde alla lunghezza della password usata dal software.
-
Per il software che gestisce le password degli account ma non usa automaticamente password lunghe e non può essere configurato per l'uso di password lunghe, è possibile usare criteri granulari per questi account.
-
-
Dopo aver indirizzato tutti gli eventi Directory-Services-SAM 16978, abilitare una password minima. A tale scopo, esegui la procedura seguente:
-
Distribuire una versione di Windows Server che supporti l'applicazione in tutti i controller di dominio (inclusi Read-Only controller di dominio).
-
Abilitare i Criteri di gruppo RelaxMinimumPasswordLengthLimits in tutti i controller di dominio.
-
Configurare i Criteri di gruppo MinimumPasswordLength in tutti i controller di dominio.
-
Criteri di gruppo
|
Percorso dei criteri e nome dell'impostazione, versioni supportate |
Descrizione |
|
Percorso dei criteri: Configurazione computer > Windows Impostazioni > Criteri account Impostazioni > sicurezza -> Criteri password -> Lunghezza minima password Nome Supportato in:
Il riavvio non è necessario |
Controllo della lunghezza minima della password Questa impostazione di sicurezza determina la lunghezza minima della password per cui vengono generati eventi di avviso di controllo della lunghezza delle password. Questa impostazione può essere configurata da 1 a 128. È consigliabile abilitare e configurare questa impostazione solo quando si prova a determinare il potenziale effetto dell'aumento dell'impostazione minima per la lunghezza della password nell'ambiente. Se questa impostazione non è definita, gli eventi di controllo non verranno generati. Se questa impostazione è definita ed è minore o uguale all'impostazione minima per la lunghezza della password, gli eventi di controllo non verranno generati. Se questa impostazione è definita ed è maggiore dell'impostazione minima per la lunghezza della password e la lunghezza di una nuova password dell'account è minore di questa impostazione, verrà generato un evento di controllo. |
|
Percorso dei criteri e nome dell'impostazione, versioni supportate |
Descrizione |
|
Percorso dei criteri: Configurazione computer > Windows Impostazioni > criteri Impostazioni > account di sicurezza -> Criteri password -> Limiti minimi di lunghezza delle password Impostazione Supportato in:
Il riavvio non è necessario |
Rilassare i limiti minimi per la lunghezza delle password legacy Questa impostazione controlla se l'impostazione minima per la lunghezza della password può essere aumentata oltre il limite legacy di 14. Se questa impostazione non è definita, è possibile che la lunghezza minima della password non sia superiore a 14. Se questa impostazione è definita e disabilitata, è possibile che la lunghezza minima della password non sia superiore a 14. Se questa impostazione è definita e abilitata, la lunghezza minima della password può essere configurata più di 14. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Percorso dei criteri e nome dell'impostazione, versioni supportate |
Descrizione |
|
Percorso dei criteri: Configurazione computer > Windows Impostazioni > Criteri Impostazioni > account di sicurezza -> Criteri password -> Lunghezza minima password Nome Supportato in:
Il riavvio non è necessario |
Questa impostazione di sicurezza determina il numero minimo di caratteri che può contenere una password per un account utente. Il valore massimo per questa impostazione dipende dal valore dell'impostazione Relax minimum password length limits. Se l'impostazione Relax minimum password length limits non è definita, questa impostazione può essere configurata da 0 a 14. Se l'impostazione Relax minimum password length limits è definita e disabilitata, questa impostazione può essere configurata da 0 a 14. Se l'impostazione Relax minimum password length limits è definita e abilitata, questa impostazione può essere configurata da 0 a 128. Se si imposta il numero di caratteri richiesto su 0, non è richiesta alcuna password. Nota Per impostazione predefinita, i computer membri seguono la configurazione dei controller di dominio. Valori predefiniti:
La configurazione di questa impostazione di dimensioni superiori a 14 può influire sulla compatibilità con client, servizi e applicazioni. È consigliabile configurare questa impostazione solo più grande di 14 dopo aver utilizzato l'impostazione di controllo Lunghezza minima password per testare potenziali incompatibilità con la nuova impostazione. |
Windows del log eventi
Nell'ambito di questo supporto aggiunto sono inclusi tre nuovi messaggi del log id evento.
ID evento 16977
L'ID evento 16977 verrà registrato quando le impostazioni dei criteri MinimumPasswordLength, RelaxMinimumPasswordLengthLimitso MinimumPasswordLengthAudit vengono configurate o modificate inizialmente in Criteri di gruppo. Questo evento verrà registrato solo nei controller di dominio. Il valore RelaxMinimumPasswordLengthLimits verrà registrato solo in Windows Server, Versione 2004 e controller di dominio della versione successiva.
|
Log eventi |
Sistema |
|
Origine evento |
Directory-Services-SAM |
|
ID evento |
16977 |
|
Livello |
Informazioni |
|
Testo del messaggio dell'evento |
Il dominio viene configurato usando le impostazioni minime correlate alla lunghezza della password. MinimumPasswordLength: Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID evento 16978
L'ID evento 16978 verrà registrato quando viene cambiata la password di un account e la password è più corta dell'impostazione MinimumPasswordLengthAudit corrente.
|
Log eventi |
Sistema |
|
Origine evento |
Directory-Services-SAM |
|
ID evento |
16978 |
|
Livello |
Informazioni |
|
Testo del messaggio dell'evento |
L'account seguente è configurato per usare una password la cui lunghezza è inferiore all'impostazione corrente di MinimumPasswordLengthAudit. AccountName: Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=2097191. |
Applicazione dell'ID evento 16979
L'ID evento 16979 verrà registrato quando le impostazioni di Criteri di gruppo di controllo non sono configurate correttamente. Questo evento verrà registrato solo nei controller di dominio. Il valore RelaxMinimumPasswordLengthLimits verrà registrato solo nei controller di dominio Windows Server, versione 2004 e versioni successive. Questo è per l'enforcment.
|
Log eventi |
Sistema |
|
Origine evento |
Directory-Services-SAM |
|
ID evento |
16979 |
|
Livello |
Errore |
|
Testo del messaggio dell'evento |
Il dominio non è configurato correttamente con un'impostazione MinimumPasswordLength maggiore di 14, mentre RelaxMinimumPasswordLengthLimits è undefined o disabled.
Nota Finché non viene corretto, il dominio applica un'impostazione minimumPasswordLength minore di 14. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=2097191. |
Controllo con ID evento 16979
L'ID evento 16979 verrà registrato quando le impostazioni di Criteri di gruppo di controllo non sono configurate correttamente. Questo evento verrà registrato solo nei controller di dominio. Un nuovo messaggio del log eventi è incluso per il controllo come parte di questo supporto aggiunto.
|
Log eventi |
Sistema |
|
Origine evento |
Directory-Services-SAM |
|
ID evento |
16979 |
|
Livello |
Errore |
|
Testo del messaggio dell'evento |
Il dominio non è configurato correttamente con un'impostazione MinimumPasswordLength maggiore di 14. Nota Finché non viene corretto, il dominio applica un'impostazione minimumPasswordLength inferiore di 14. Valore MinimumPasswordLength attualmente configurato: Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=2097191. |
Indicazioni per la modifica della password del software
Usare la lunghezza massima della password quando si imposta una password nel software.
Cronologia
Anche se la strategia generale di sicurezza Microsoft è incentrata su un futuro senza password, molti clienti non possono eseguire la migrazione dalle password a breve-medio termine. Alcuni clienti consapevoli della sicurezza vogliono essere in grado di configurare un'impostazione predefinita per la lunghezza minima della password del dominio maggiore di 14 caratteri( ad esempio, i clienti potrebbero farlo dopo aver informare gli utenti a usare passphrase più lunghe invece delle tradizionali password brevi a singolo token). A supporto di questa richiesta, gli aggiornamenti di Windows di aprile 2018 per Windows Server 2016 hanno abilitato una modifica di Criteri di gruppo che ha aumentato la lunghezza minima della password da 14 a 20 caratteri. Anche se questa modifica sembrava supportare una password più lunga, alla fine non era sufficiente e rifiutava il nuovo valore quando sono stati applicati i Criteri di gruppo. Questi rifiuti erano invisibile all'utente e richiedevano test dettagliati per determinare che il sistema non supportava password più lunghe. È stato incluso un aggiornamento di follow-up per il livello DIS (Security Account Manager) sia per Windows Server 2016 che per Windows Server 2019 per consentire al sistema di funzionare correttamente end-to-end con una lunghezza minima della password maggiore di 14 caratteri. È stato incluso un aggiornamento di follow-up per il livello DIS (Security Account Manager) sia per Windows Server 2016 che per Windows Server 2019 per consentire al sistema di funzionare correttamente end-to-end con una lunghezza minima della password maggiore di 14 caratteri.
L'impostazione del criterio MinimumPasswordLength ha un intervallo consentito da 0 a 14 per un periodo molto lungo (molti decadi) in tutte le piattaforme Microsoft. Questa impostazione si applica sia alle impostazioni di Windows locali che ad Active Directory (e ai domini NT4 precedenti). Il valore zero (0) indica che per qualsiasi account non è richiesta alcuna password.
Nelle versioni precedenti di Windows, l'interfaccia utente di Criteri di gruppo non abilitava l'impostazione di una lunghezza minima di password richiesta superiore a 14 caratteri. Tuttavia, nell'aprile 2018 sono stati rilasciati gli aggiornamenti Windows 10 che hanno aggiunto il supporto per più di 14 caratteri nell'interfaccia utente di Criteri di gruppo come parte di aggiornamenti come:
-
KB 4093120: 17 aprile 2018— KB4093120 (Build del sistema operativo 14393.2214)
Questo aggiornamento includeva il testo della nota sulla versione seguente:
"Aumenta la lunghezza minima della password in Criteri di gruppo a 20 caratteri".
Alcuni clienti che hanno installato i rilasci di aprile 2018 e hanno sostituito gli aggiornamenti hanno rilevato che non potevano ancora usare password di lunghezza superiore a 14 caratteri. L'indagine ha identificato che è necessario installare altri aggiornamenti nei computer con ruoli di controller di dominio che servono le password di più di 14 caratteri definite nei criteri delle password. Gli aggiornamenti seguenti hanno abilitato Windows Server 2016, Windows 10, versione 1607 e il rilascio iniziale dei controller di dominio Windows 10 per gli accessi al servizio e le richieste di autenticazione con password di lunghezza superiore a 14 caratteri:
-
KB 4467684: 27 novembre 2018- KB4467684 (Build del sistema operativo 14393.2639)
Questo aggiornamento includeva il testo della nota sulla versione seguente:
"Risolve un problema che impedisce ai controller di dominio di applicare i criteri password di Criteri di gruppo quando la lunghezza minima della password è configurata per essere maggiore di 14 caratteri".
-
KB 4471327: 11 dicembre 2018- KB4471321 (Build del sistema operativo 14393.2665)
Alcuni clienti hanno definito password di più di 14 caratteri nei criteri dopo aver installato gli aggiornamenti di aprile 2018 fino a ottobre 2018, che sono rimasti sostanzialmente inattivi fino agli aggiornamenti di novembre 2018 e dicembre 2018 oppure un sistema operativo nativo ha abilitato i controller di dominio per il servizio con password di più di 14 caratteri nei criteri, rimuovendo così il collegamento tempo/causale tra l'abilitazione delle funzionalità e l'applicazione dei criteri. Se sono stati installati o meno gli aggiornamenti di Criteri di gruppo e controller di dominio, potrebbero verificarsi gli effetti collaterali seguenti:
-
Sono stati esposti problemi con le applicazioni attualmente incompatibili con password di lunghezza superiore a 14 caratteri.
-
Problemi esposti quando i domini costituiti da una combinazione della versione finale di Windows Server 2019 o dei controller di dominio 2016 aggiornati che supportano password di più di 14 caratteri e controller di dominio pre-Windows Server 2016 che non supportano password di lunghezza superiore a 14 caratteri (fino a quando non esistono backport e vengono installati per Windows Server 2016).
-
Dopo l'installazione di KB4467684,è possibile che il servizio cluster non venga avviato con l'errore "2245 (NERR_PasswordTooShort)" se il criterio di gruppo "Lunghezza minima password" è configurato con più di 14 caratteri.
Le indicazioni per questo problema noto riguardano l'impostazione del criterio predefinito del dominio "Lunghezza minima password" su un valore inferiore o uguale a 14 caratteri. Microsoft sta lavorando alla risoluzione del problema e fornirà un aggiornamento in una delle prossime versioni.
A causa dei problemi precedenti, il supporto lato controller di dominio per le password di più di 14 caratteri è stato rimosso negli aggiornamenti di gennaio 2019 in modo che la funzionalità non possa essere usata.
