Kopsavilkums
Windows 10 atjauninājumiem, kas izlaisti 2020. gada 18. augustā, tiek pievienots atbalsts:
-
Audita notikumi, lai noteiktu, vai lietojumprogrammas un pakalpojumi atbalsta 15 rakstzīmju vai garākas paroles.
-
Minimālo paroles garumu 15 rakstzīmju un vairāk paroļu izpildei Windows Server 2004 domēna kontrolleros (DC).
Atbalstītās Windows
Paroles garuma auditēšana tiek atbalstīta tālāk norādītās Windows. Minimālā paroles garuma 15 un vairāk rakstzīmju ieviešana tiek atbalstīta Windows Server 2004 versijā, kā arī jaunākās Windows.
|
Windows versija |
KB |
Atbalsts |
|
Windows 10 versija 2004 |
Iekļauts izlaistā versijā |
Ieviešana |
|
Windows 10, versija 1909 |
Auditēšana |
|
|
Windows 10, versija 1903 |
Auditēšana |
|
|
Windows 10 versija 1809 |
Auditēšana |
|
|
Windows 10, versija 1607 |
Auditēšana |
Ieteiktā izvietošana
|
Domēnu kontrolleri |
Administratīvās darbstacijas |
|
|
Auditēšana. Ja paroles lietojums tiek auditēts zem minimālās vērtības, veiciet tālāk norādītās darbības. |
Izvietojiet atjauninājumus visos atbalstītos DC, kur nepieciešama auditēšana. |
Izvietojiet atjauninājumus atbalstītajām administratīvajām darbstacijām jauniem grupas politikas iestatījumiem. Izmantojiet šīs darbstacijas, lai izvietotu atjauninātas grupas politikas. |
|
Ieviešana: Ja ir nepieciešams minimālais garuma paroļu ieviešanas ilgums, veiciet tālāk nepieciešamās darbības. |
Windows Server, 2004 DC versija. Visiem datoriem jābūt šajā versijā vai jaunākā versijā. Nav nepieciešami papildu atjauninājumi. |
Izmantojiet Windows 10, versija 2004. Šajā versijā ir iekļauti jaunie grupas politikas iestatījumi ieviešanas nolūkos. Izmantojiet šīs darbstacijas, lai izvietotu atjauninātas grupas politikas. |
Izvietošanas vadlīnijas
Lai pievienotu atbalstu minimālā paroles garuma auditēšana un ieviešana, veiciet tālāk norādītās darbības.
-
Izvietojiet atjauninājumu visās atbalstītās Windows versijās visās domēnu kontrolleros.
-
Domēna kontrolleris: atjauninājumi un jaunāki atjauninājumi nodrošina atbalstu visiem DC, lai autentificētu lietotāju vai pakalpojumu kontus, kas ir konfigurēti izmantot vairāk nekā 14 rakstzīmju paroles.
-
Administratīvās darbstacijas: izvietojiet administratīvo darbstaciju atjauninājumus, lai atļautu lietot jaunos grupas politikas iestatījumus DC.
-
-
Iespējojiet Grupas politikas iestatījumu MinimumPasswordLengthAudit domēnā vai mežā, ja ir nepieciešamas garākas nepieciešamās paroles. Šis politikas iestatījums ir jāiespējo noklusējuma domēna kontrollera politikā, kas saistīta ar domēna kontrolleru organizācijas vienību (OU).
-
Mēs iesakām trīs līdz sešus mēnešus atstāt auditēšanas politiku iespējotu, lai noteiktu visu programmatūru, kas neatbalsta paroles, kas lielākas par 14 rakstzīmēm.
-
Pārraugiet domēnus Directory-Services-SAM 16978 notikumiem, kas reģistrēti programmatūrai, kura pārvalda paroles trīs līdz sešus mēnešus. Jums nav jāpārrauga Direktorija pakalpojumi-Services-SAM 16978 notikumi, kas reģistrēti lietotāju kontos.
-
Ja ir iespējams, konfigurējiet programmatūru tā, lai izmantotu ilgāku paroles garumu.
-
Strādājiet ar programmatūras ražotāju, lai atjauninātu programmatūru un izmantotu garākas paroles.
-
Izvietojiet šajā kontā precīzas paroļu politikas, izmantojot vērtību, kas atbilst programmatūrai izmantotā paroles garumam.
-
Programmatūrai, kas pārvalda konta paroles, bet automātiski neizmanto garas paroles, un to nevar konfigurēt, lai izmantotu garas paroles, šiem kontiem var izmantot precīzas paroļu politikas.
-
-
Pēc tam, kad visi Directory-Services-SAM 16978 notikumi ir izskatīti, iespējojiet minimālo paroli. Lai to izdarītu, veiciet tālāk norādītās darbības.
-
Izvietojiet Windows Server versiju, kas atbalsta ieviešanu visos DC (tostarp Read-Only DC).
-
Iespējojiet RelaxMinimumPasswordLengthLimits grupas politiku visos DC.
-
Konfigurējiet MinimumSPasswordLength grupas politiku visos DC.
-
Grupas politika
|
Politikas ceļš un nosaukuma iestatīšana, atbalstītās versijas |
Apraksts |
|
Politikas ceļš: Datora konfigurācijas > Windows Iestatījumi > drošības Iestatījumi > Konta politikas -> paroļu politika -> Minimālā paroles garuma Atbalstīts:
Restartēšana nav nepieciešama |
Minimālā paroles garuma audits Šis drošības iestatījums nosaka minimālo paroles garumu, kuram tiek izsniegti paroles garuma audita brīdinājuma notikumi. Šis iestatījums var būt konfigurēts no 1 līdz 128. Šis iestatījums ir jāiespējo un jākonfigurē tikai tad, ja mēģināt noteikt iespējamo efektu, kas varētu ietekmēt minimālā paroles garuma iestatījuma palielināšanu jūsu vidē. Ja šis iestatījums nav definēts, audita notikumi netiks izsniegti. Ja šis iestatījums ir definēts un ir mazāks vai vienāds ar minimālā paroles garuma iestatījumu, audita notikumi netiek izsniegti. Ja šis iestatījums ir definēts un ir lielāks par minimālo paroles garuma iestatījumu un jaunā konta paroles garums ir mazāks nekā šis iestatījums, tiek izsniegts audita notikums. |
|
Politikas ceļš un nosaukuma iestatīšana, atbalstītās versijas |
Apraksts |
|
Politikas ceļš: Datora konfigurācijas > Windows Iestatījumi > drošības Iestatījumi > Konta politikas -> paroļu politika -> Relax minimālie paroles garuma ierobežojumi Atbalstīts:
Restartēšana nav nepieciešama |
Atslābstiet minimālo paroles garuma mantoto ierobežojumu Šis iestatījums kontrolē, vai var palielināt minimālo paroles garuma iestatījumu ārpus 14 mantotā ierobežojuma. Ja šis iestatījums nav definēts, minimālo paroles garumu var konfigurēt tā, lai tas nebūtu garāks par 14. Ja šis iestatījums ir definēts un atspējots, minimālo paroles garumu var konfigurēt tā, lai tas nepārsniedz 14. Ja šis iestatījums ir definēts un iespējots, minimālo paroles garumu var konfigurēt vairāk nekā 14. Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Politikas ceļš un nosaukuma iestatīšana, atbalstītās versijas |
Apraksts |
|
Politikas ceļš: Datora konfigurācijas > Windows Iestatījumi > drošības Iestatījumi > Konta politikas -> paroļu politika -> Minimālā paroles garuma iestatījuma Atbalstīts:
Restartēšana nav nepieciešama |
Šis drošības iestatījums nosaka mazāko rakstzīmju skaitu, ko var izmantot lietotāja konta parolē. Šī iestatījuma maksimālā vērtība ir atkarīga no iestatījuma Atslābst minimālo paroles garuma ierobežojumu vērtības. Ja iestatījums Atslābst minimālo paroles garuma ierobežojumu nav definēts, šis iestatījums var būt konfigurēts no 0 līdz 14. Ja ir definēts un atspējots iestatījums Atslābst minimālo paroles garumu, šis iestatījums var būt konfigurēts no 0 līdz 14. Ja ir definēts un iespējots iestatījums Atslābst minimālo paroles garumu, šis iestatījums var būt konfigurēts no 0 līdz 128. Iestatot nepieciešamo rakstzīmju skaitu uz 0, parole nav nepieciešama. Piezīme Pēc noklusējuma dalībnieku datori seko savu domēna kontrolleru konfigurācijai. Noklusējuma vērtības:
Šī iestatījuma konfigurēšana, kas ir lielāka par 14, var ietekmēt saderību ar klientiem, pakalpojumiem un lietojumprogrammām. Ieteicams konfigurēt šo iestatījumu, kas lielāks par 14, pēc tam, kad izmantojat audita iestatījumu Minimālais paroles garums, lai pārbaudītu iespējamās neatbilstības jaunajā iestatījumā. |
Windows žurnāla ziņojumu skatīšana
Kā daļa no pievienotā atbalsta tiek iekļauti trīs jauni notikumu ID žurnāla ziņojumi.
Notikuma ID 16977
Notikuma ID 16977 tiek reģistrēts, ja MinimumPasswordLength,RelaxMinimumPasswordLengthLimitsvai MinimumPasswordLengthAudit politikas iestatījumi sākotnēji ir konfigurēti vai modificēti grupas politikā. Šis notikums tiks reģistrēts tikai DC. Vērtība RelaxMinimumPasswordLengthLimits tiks reģistrēta tikai programmā Windows Server, Version 2004 un jaunākās versijās DC.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma ID |
16977 |
|
Līmenis |
Informācija |
|
Notikuma ziņojuma teksts |
Domēns tiek konfigurēts, izmantojot tālāk norādītos ar paroles garumu saistītos minimālos iestatījumus. MinimumPasswordLength: Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?LinkId=2097191. |
Notikuma ID 16978
Notikuma ID 16978 tiek reģistrēts, kad tiek mainīta konta parole un parole ir īsāka par pašreizējo iestatījumu MinimumPasswordLengthAudit.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma ID |
16978 |
|
Līmenis |
Informācija |
|
Notikuma ziņojuma teksts |
Šis konts ir konfigurēts, lai izmantotu paroli, kuras garums ir īsāks par pašreizējo iestatījumu MinimumPasswordLengthAudit. AccountName: Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?LinkId=2097191. |
Notikuma ID 16979 ieviešana
Notikuma ID 16979 tiek reģistrēts, ja auditēšanas grupas politikas iestatījumi ir nepareizi konfigurēti. Šis notikums tiks reģistrēts tikai DC. Vērtība RelaxMinimumPasswordLengthLimits tiks reģistrēta tikai programmā Windows Server, versijā 2004 un jaunākās versijās DC. Tas ir paredzēts uzskaitījumam.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma ID |
16979 |
|
Līmenis |
Kļūda |
|
Notikuma ziņojuma teksts |
Domēns ir nepareizi konfigurēts ar MinimumPasswordLength iestatījumu, kas ir lielāks par 14, savukārt RelaxMinimumPasswordLengthLimits ir nedefinēts vai atspējots.
Piezīme Līdz šī labojuma brīdim domēns ievieš mazāku MinimumPasswordLength iestatījumu 14. Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?LinkId=2097191. |
Notikuma ID 16979 auditēšana
Notikuma ID 16979 tiek reģistrēts, ja auditēšanas grupas politikas iestatījumi ir nepareizi konfigurēti. Šis notikums tiks reģistrēts tikai DC. Šajā pievienotā atbalsta daļā ir iekļauts viens jauns notikumu žurnāla ziņojums Auditēšana.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma ID |
16979 |
|
Līmenis |
Kļūda |
|
Notikuma ziņojuma teksts |
Domēns ir nepareizi konfigurēts ar MinimumPasswordLength iestatījumu, kas ir lielāks par 14. Piezīme Līdz šī labojuma brīdim domēns ievieš mazāku MinimumPasswordLength iestatījumu 14. Pašlaik konfigurētā MinimumPasswordLength vērtība: Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?LinkId=2097191. |
Norādījumi par programmatūras paroles maiņu
Iestatot paroli programmatūrā, izmantojiet maksimālo paroles garumu.
Vēsture
Lai gan vispārējā Microsoft drošības stratēģija ir stingri vērsta uz to, lai nākotnē būtu pieejams mazāk paroļu, daudzi klienti nevar migrēt prom no parolēm īsā vai vidējā termiņā. Daži lietotāji, kas nepieciešami drošības apsvērumu dēļ, vēlas konfigurēt noklusējuma domēna minimālo paroles garuma iestatījumu, kas ir lielāks par 14 rakstzīmēm (piemēram, klienti to var darīt pēc tam, kad lietotāji ir informējuši izmantot garākas ieejas frāzes, nevis tradicionālās īsās, viena marķiera paroles). Lai atbalstītu šo pieprasījumu, Windows 2018. gada aprīlī atjauninājumi sistēmai Windows Server 2016 iespējoja grupas politikas maiņu, kas palielināja minimālo paroles garumu no 14 līdz 20 rakstzīmēm. Lai gan bija redzams, ka šīs izmaiņas atbalsta ilgāku paroli, tās bija pilnīgi nepietiekamas un noraidītas, kad tika lietota grupas politika. Šīs noraidījumi bija klusi, un bija nepieciešama detalizēta testēšana, lai noteiktu, ka sistēma neatbalsta garākas paroles. Drošības konta pārvaldnieka (SAM) slāņa sekojuma atjauninājums tika iekļauts gan Windows Server 2016, gan Windows Server 2019, lai nodrošinātu, ka sistēma pareizi darbojas līdz beigām ar minimālo paroles garumu, kas ir lielāks par 14 rakstzīmēm. Drošības konta pārvaldnieka (SAM) slāņa sekojuma atjauninājums tika iekļauts gan Windows Server 2016, gan Windows Server 2019, lai nodrošinātu, ka sistēma pareizi darbojas līdz beigām ar minimālo paroles garumu, kas ir lielāks par 14 rakstzīmēm.
MinimumsPasswordLength politikas iestatījumā ir atļauts diapazons no 0 līdz 14 ļoti ilgu laiku (daudzas desmitgades) visās Microsoft platformās. Šis iestatījums attiecas gan uz lokālajiem Windows iestatījumiem, gan Active Directory (un nt4 domēniem pirms tā). Nulles (0) vērtība nozīmē, ka nevienam kontam parole nav nepieciešama.
Iepriekšējās programmas versijās grupas Windows lietotāja interfeiss neiespējoja minimālo paroļu garumu, kas ir garāks par 14 rakstzīmēm. Tomēr 2018. gada aprīlī mēs izlaidām Windows 10 atjauninājumus, kas grupas politikas lietotāja interfeisā par vairāk nekā 14 rakstzīmēm tika atbalstīti kā daļa no atjauninājumiem, piemēram:
-
KB 4093120: 2018.gada 17. aprīlis — KB4093120 (OS būvējumu 14393.2214)
Šajā atjauninājumā iekļauts šāds laidiena piezīmes teksts:
"Palielina grupas politikas minimālo paroles garumu līdz 20 rakstzīmēm."
Daži klienti, kuri instalēja 2018. gada aprīļa laidienus un aizstāj atjauninājumus, konstatēja, ka joprojām nevar izmantot vairāk par 14 rakstzīmju parolēm. Izmeklēšanas tika konstatēta, ka nepieciešami papildu atjauninājumi, kas jāinstalē DC lomu datoros, kuri apkalpo paroļu politikā definētās vairāk nekā 14 rakstzīmju paroles. Iespējoti šādi atjauninājumi: Windows Server 2016, Windows 10, versija 1607 un Windows 10 domēnu kontrolleru sākotnējais laidiens pakalpojumu pieteikšanās un autentifikācijas pieprasījumiem ar vairāk nekā 14 rakstzīmju parolēm.
-
KB 4467684:2018. gada 27. novembris — KB4467684 (OS būvējumu 14393.2639)
Šajā atjauninājumā iekļauts šāds laidiena piezīmes teksts:
"Novērš problēmu, kas neļauj domēnu kontrolleriem lietot grupas politikas paroļu politiku, ja ir konfigurēts, ka minimālais paroles garums pārsniedz 14 rakstzīmes."
-
KB 4471327:2018. gada 11. decembris — KB4471321 (OS būvējumu 14393.2665)
Daži klienti politikā ir definēuši vairāk nekā 14 rakstzīmju paroles pēc 2018. gada aprīļa instalēšanas līdz 2018. gada oktobra atjauninājumiem, kas būtībā paliek pasīva līdz 2018. gada novembra un 2018. gada decembra atjauninājumiem vai pakalpojumam ar 14 rakstzīmju parolēm lielāku par 14 rakstzīmju apkalpošanu, tādējādi tiek noņemta laika/causation saite starp līdzekļu iespējošanu un politikas lietojumprogrammu. Neatkarīgi no tā, vai esat instalējis grupas politiku un domēna kontrollera atjauninājumus vienlaikus, iespējams, redzēsit šādus blakus efektus:
-
Atklājamās problēmas ar lietojumprogrammām, kas pašlaik nav saderīgas ar vairāk nekā 14 rakstzīmju parolēm.
-
Atklājamās problēmas, ja domēni, kas sastāv no Windows Server 2019 laidiena versijas vai atjaunināti 2016. gada DC, kuri atbalsta vairāk nekā 14 rakstzīmju paroles un pirms Windows Server 2016 DC, kuri neatbalsta vairāk par 14 rakstzīmju parolēm (kamēr nav paroļu atpakaļ un nav instalētas programmatūrai Windows Server 2016).
-
Pēc KB4467684instalēšanas klastera pakalpojumu var neizdoties startēt ar kļūdu "2245 (NERR_PasswordTooShort)", ja grupas politika "Minimālais paroles garums" ir konfigurēta ar vairāk nekā 14 rakstzīmēm.
Norādījumi par šo zināmo problēmu bija iestatīt domēna noklusējuma politiku "Minimālais paroles garums", kas ir mazāka vai vienāda ar 14 rakstzīmēm. Mēs strādājam pie risinājuma un nodrošināsim atjauninājumu nākamajā laidienā.
2019. gada janvāra atjauninājumos dc puses atbalsts ir lielāks par 14 rakstzīmju parolēm, tāpēc šo līdzekli nevar izmantot.
