Minimum overvåking og håndhevelse av passordlengde på bestemte versjoner av Windows

Oppsummering

Windows 10 oppdateringer utgitt 18. august 2020, legger til støtte for følgende:

Overvåkingshendelser for å identifisere om programmer og tjenester støtter passord på 15 tegn eller lengre.
Håndhevelse av minimum passordlengde på 15 tegn eller mer på Windows Server, versjon 2004 domenekontrollere (DCs).

Støttede versjoner av Windows

Overvåking av passordlengder støttes på følgende versjoner av Windows. Håndhevelse av minimum passordlengde på 15 tegn eller mer støttes i Windows Server, versjon 2004 og i senere versjoner av Windows.

Windows-versjon	KB	Støtte
Windows 10 versjon 2004 Windows Server versjon 2004	Inkludert i den utgitte versjonen	Håndhevelse Overvåking
Windows 10 versjon 1909 Windows Server versjon 1909	KB4566116	Overvåking
Windows 10 versjon 1903 Windows Server versjon 1903	KB4566116	Overvåking
Windows 10, versjon 1809 Windows Server versjon 1809 Windows Server 2019	KB4571748	Overvåking
Windows 10, versjon 1607 Windows Server 2016	KB4601318	Overvåking

Foreslått distribusjon

	Domenekontrollere	Administrative arbeidsstasjoner
Overvåking: Hvis bare overvåking av passordbruk under en minimumsverdi, distribueres den på følgende måte.	Distribuer oppdateringer til alle støttede DCer der overvåking er ønsket.	Distribuer oppdateringer til støttede administrative arbeidsstasjoner for nye gruppepolicyinnstillinger. Bruk disse arbeidsstasjonene til å distribuere oppdaterte gruppepolicyer.
Håndhevelse: Hvis du ønsker å håndheve passord med minimumslengde, distribuerer du det på følgende måte.	Windows Server, versjon 2004 DCs. Alle DCer må være i denne versjonen eller en nyere versjon. Ingen flere oppdateringer er nødvendige.	Bruk Windows 10 versjon 2004. De nye gruppepolicyinnstillingene for håndhevelse er inkludert i denne versjonen. Bruk disse arbeidsstasjonene til å distribuere oppdaterte gruppepolicyer.

Retningslinjer for distribusjon

Følg disse trinnene for å legge til støtte for minimum passordlengdeovervåking og håndhevelse:

Distribuer oppdateringen på alle støttede Windows versjoner på alle domenekontrollere.
1. Domenekontroller: Oppdateringene og nyere oppdateringer gjør at støtte på alle DCer kan godkjenne bruker- eller tjenestekontoer som er konfigurert til å bruke passord på mer enn 14 tegn.
2. Administrativ arbeidsstasjon: Distribuer oppdateringene til administrative arbeidsstasjoner for å tillate bruk av de nye gruppepolicyinnstillingene på DCer.
Aktiver innstillingen MinimumPasswordLengthAudit-gruppepolicy på et domene eller en skog der du ønsker lengre nødvendige passord. Denne policyinnstillingen bør aktiveres i standard domenekontrollerens policy som er koblet til domenekontrollerens organisasjonsenhet (OU).
Vi anbefaler at du lar overvåkingspolicyen være aktivert i tre til seks måneder for å oppdage all programvare som ikke støtter passord på mer enn 14 tegn.
Overvåk domener for Directory-Services-SAM 16978-hendelser som er logget mot programvare som administrerte passord i tre til seks måneder. Du trenger ikke å overvåke Directory-Services-SAM 16978-hendelser som er logget mot brukerkontoer.
1. Hvis det er mulig, konfigurerer du programvaren til å bruke en lengre passordlengde.
2. Samarbeid med programvareleverandøren for å oppdatere programvaren for å bruke lengre passord.
3. Distribuer en finkornet passordpolicy for denne kontoen ved hjelp av en verdi som samsvarer med passordlengden som brukes av programvaren.
4. For programvare som administrerer kontopassord, men ikke automatisk bruker lange passord og ikke kan konfigureres til å bruke lange passord, kan en finkornet passordpolicy brukes for disse kontoene.
Når alle directory-Services-SAM 16978-hendelsene er adressert, må du aktivere et minimum passord. For å gjøre dette, følger du disse trinnene:
1. Distribuer en versjon Windows server som støtter håndhevelse på alle DCer (Read-Only DCs).
2. Aktiver gruppepolicyen RelaxMinimumPasswordLengthLimits på alle DCer.
3. Konfigurer gruppepolicyen MinimumPasswordLength på alle DCer.

Gruppepolicy

Policybane og innstillingsnavn, støttede versjoner

Beskrivelse

Policybane: Datamaskinkonfigurasjon > Windows Innstillinger > Sikkerhet Innstillinger > Kontopolicyer -> Passordpolicy -> Minimum passordlengde Overvåkingsnavn:

MinimumPasswordLengthAudit

Støttes på:

Windows 10 versjon 1607
Windows Server 2016
Windows 10, versjon 1809
Windows Server versjon 1809
Windows 10, versjon 1903
Windows Server, versjon 1903
Windows 10, versjon 1909
Windows Server, versjon 1909
Windows 10, versjon 2004
Windows Server, versjon 2004
og nyere versjoner

Det er ikke nødvendig å starte på nytt

Overvåking av minimum passordlengde

Denne sikkerhetsinnstillingen bestemmer minimum passordlengde som varslingshendelser for passordlengden skal utstedes for. Denne innstillingen kan konfigureres fra 1 til 128.

Du bør bare aktivere og konfigurere denne innstillingen når du prøver å fastslå den potensielle effekten av å øke innstillingen for minimum passordlengde i miljøet.

Hvis denne innstillingen ikke er definert, utstedes ikke overvåkingshendelser.

Hvis denne innstillingen er definert og er mindre enn eller lik innstillingen for minimum passordlengde, utstedes ikke overvåkingshendelser.

Hvis denne innstillingen er definert og er større enn minimumsinnstillingen for passordlengde, og lengden på et nytt kontopassord er mindre enn denne innstillingen, utstedes en overvåkingshendelse.

Policybane og innstillingsnavn, støttede versjoner

Beskrivelse

Policybane: Datamaskinkonfigurasjon > Windows Innstillinger > Sikkerhetskontopolicyer Innstillinger > -> Passordpolicy -> Slapp av minimum passordlengdegrenser Angi

navn: RelaxMinimumPasswordLengthLimits

Støttes på:

Windows 10, versjon 2004
Windows Server, versjon 2004
og nyere versjoner

Det er ikke nødvendig å starte på nytt

Slapp av minimumsgrenser for passordlengde

Denne innstillingen styrer om innstillingen for minimum passordlengde kan økes utover den eldre grensen på 14.

Hvis denne innstillingen ikke er definert, kan minimum passordlengde konfigureres til ikke mer enn 14.

Hvis denne innstillingen er definert og deaktivert, kan minimum passordlengde konfigureres til ikke mer enn 14.

Hvis denne innstillingen er definert og aktivert, kan minimum passordlengde konfigureres mer enn 14.

Hvis du vil ha mer informasjon, kan du https://go.microsoft.com/fwlink/?LinkId=2097191.

Policybane og innstillingsnavn, støttede versjoner

Beskrivelse

Policybane: Datamaskinkonfigurasjon > Windows Innstillinger > Sikkerhetspolicyer Innstillinger > -> Passordpolicy -> Minimum passordlengde Angi

navn: MinimumPasswordLength

Støttes på:

Windows 10, versjon 2004
Windows Server, versjon 2004
og nyere versjoner

Det er ikke nødvendig å starte på nytt

Denne sikkerhetsinnstillingen bestemmer det minste antallet tegn som et passord for en brukerkonto kan inneholde.

Maksimumsverdien for denne innstillingen avhenger av verdien til innstillingen Forslapp minimumsgrense for passordlengde.

Hvis innstillingen Forspenn minimum passordlengde ikke er definert, kan denne innstillingen konfigureres fra 0 til 14.

Hvis innstillingen Forspenn minimum passordlengde er definert og deaktivert, kan denne innstillingen konfigureres fra 0 til 14.

Hvis innstillingen Forspenn minimum passordlengde er definert og aktivert, kan denne innstillingen konfigureres fra 0 til 128.

Hvis du angir det nødvendige antallet tegn til 0, betyr det at det ikke kreves passord.

Obs! Som standard følger medlemsdatamaskinene konfigurasjonen av domenekontrollerne.

Standardverdier:

7 på domenekontrollere
0 på frittstående servere

Konfigurering av denne innstillingen som er større enn 14, kan påvirke kompatibiliteten med klienter, tjenester og programmer. Vi anbefaler at du bare konfigurerer denne innstillingen som er større enn 14 etter at du har brukt overvåkingsinnstillingen Minimum passordlengde for å teste potensielle inkompatibiliteter ved den nye innstillingen.

Windows meldinger i hendelsesloggen

Tre nye meldinger i hendelses-ID-loggen er inkludert som en del av denne støtten.

Hendelses-ID 16977

Hendelses-ID 16977 logges når policyinnstillingene MinimumPasswordLength, RelaxMinimumPasswordLengthLimitseller MinimumPasswordLengthAudit konfigureres eller endres i gruppepolicyen. Denne hendelsen logges bare på DCs. Verdien RelaxMinimumPasswordLengthLimits logges bare på Windows Server, versjon 2004 og nyere versjon av DCs.

Hendelseslogg	System
Hendelseskilde	Directory-Services-SAM
Hendelses-ID	16977
Nivå	Informasjon
Meldingstekst for hendelse	Domenet konfigureres ved hjelp av følgende minimum passordlengderelaterte innstillinger. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit: Hvis du vil ha mer informasjon, kan du https://go.microsoft.com/fwlink/?LinkId=2097191.

Hendelses-ID 16978

Hendelses-ID 16978 logges når et kontopassord endres og passordet er kortere enn gjeldende MinimumPasswordLengthAudit-innstilling.

Hendelseslogg	System
Hendelseskilde	Directory-Services-SAM
Hendelses-ID	16978
Nivå	Informasjon
Meldingstekst for hendelse	Følgende konto er konfigurert til å bruke et passord med en lengde som er kortere enn gjeldende MinimumPasswordLengthAudit-innstilling. AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit: Hvis du vil ha mer informasjon, kan du https://go.microsoft.com/fwlink/?LinkId=2097191.

Hendelses-ID 16979 Håndhevelse

Hendelses-ID 16979 logges når innstillingene for overvåking av gruppepolicy er feilkonfigurert. Denne hendelsen logges bare på DCs. Verdien RelaxMinimumPasswordLengthLimits logges bare på Windows Server, Versjon 2004 og nyere versjon DCer. Dette er for tvang.

Hendelseslogg	System
Hendelseskilde	Directory-Services-SAM
Hendelses-ID	16979
Nivå	Feil
Meldingstekst for hendelse	Domenet er feil konfigurert med en MinimumPasswordLength-innstilling som er større enn 14, mens RelaxMinimumPasswordLengthLimits enten er udefinert eller deaktivert. Obs! Inntil dette er rettet, fremtvinger domenet en mindre MinimumPasswordLength-innstilling på 14. For øyeblikket konfigurert MinimumPasswordLength-verdi: Hvis du vil ha mer informasjon, kan du https://go.microsoft.com/fwlink/?LinkId=2097191.

Overvåking av hendelses-ID 16979

Hendelses-ID 16979 logges når innstillingene for overvåking av gruppepolicy er feilkonfigurert. Denne hendelsen logges bare på DCs. Én ny melding i hendelsesloggen er inkludert for overvåking som en del av denne ekstra støtten.

Hendelseslogg	System
Hendelseskilde	Directory-Services-SAM
Hendelses-ID	16979
Nivå	Feil
Meldingstekst for hendelse	Domenet er feil konfigurert med en MinimumPasswordLength-innstilling som er større enn 14. Obs! Inntil dette er rettet, fremtvinger domenet en mindre MinimumPasswordLength-innstilling på 14. For øyeblikket konfigurert MinimumPasswordLength-verdi: Hvis du vil ha mer informasjon, kan du https://go.microsoft.com/fwlink/?LinkId=2097191.

Veiledning for endring av programvarepassord

Bruk den maksimale passordlengden når du angir et passord i programvaren.

Logg

Selv om den generelle Microsoft-sikkerhetsstrategien er fokusert på en passord-mindre fremtid, kan mange kunder ikke overføre bort fra passord på kort til mellomlang sikt. Noen sikkerhetsbevisste kunder ønsker å kunne konfigurere en standard innstilling for minimum passordlengde for domene som er større enn 14 tegn (kunder kan for eksempel gjøre dette etter at de lærer brukerne å bruke lengre passfraser i stedet for tradisjonelle korte, enkle tokenpassord). Som støtte for denne forespørselen aktiverte Windows oppdateringer i april 2018 for Windows Server 2016 en gruppepolicyendring som økte minimum passordlengden fra 14 til 20 tegn. Selv om denne endringen så ut til å støtte lengre passord, var den i siste instans utilstrekkelig og avviste den nye verdien da gruppepolicyen ble brukt. Disse avvisningene var stille og nødvendige detaljerte tester for å fastslå at systemet ikke støttet lengre passord. En oppfølgingsoppdatering av Sikkerhetskontobehandling (SAM)-laget ble inkludert for både Windows Server 2016 og Windows Server 2019 for å gjøre det mulig for systemet å fungere riktig fra ende til ende med en minimumslengde på passord som er større enn 14 tegn. En oppfølgingsoppdatering av Sikkerhetskontobehandling (SAM)-laget ble inkludert for både Windows Server 2016 og Windows Server 2019 for å gjøre det mulig for systemet å fungere riktig fra ende til ende med en minimumslengde på passord som er større enn 14 tegn.

Policyinnstillingen MinimumPasswordLength har hatt et tillatt område fra 0 til 14 i svært lang tid (mange tiår) på alle Microsoft-plattformer. Denne innstillingen gjelder både for lokale Windows sikkerhetsinnstillinger og Active Directory (og NT4-domener før dette). En verdi på null (0) betyr at det ikke kreves passord for en konto.

I tidligere versjoner av Windows aktiverte ikke brukergrensesnittet for gruppepolicy å angi minimum nødvendige passordlengder som er lengre enn 14 tegn. I april 2018 lanserte vi imidlertid Windows 10 oppdateringer som la til støtte for mer enn 14 tegn i gruppepolicygrensesnittet som en del av oppdateringer, for eksempel:

KB 4093120: 17. april 2018 – KB4093120 (OS-bygg 14393.2214)

Denne oppdateringen inkluderte følgende utgivelsesnotattekst:

«Øker minimum passordlengde i gruppepolicy til 20 tegn.»

Noen kunder som installerte utgivelsene for april 2018 og erstatter oppdateringer, fant ut at de fremdeles ikke kunne bruke passord på mer enn 14 tegn. Undersøkelser identifiserte at flere oppdateringer måtte installeres på datamaskiner med dc-rolle som vedlikeholder passord på mer enn 14 tegn som ble definert i passordpolicyen. Følgende oppdateringer aktiverte Windows Server 2016, Windows 10, versjon 1607 og den første utgivelsen av Windows 10-domenekontrollere til tjenestepålogginger og godkjenningsforespørsler med passord på mer enn 14 tegn:

KB 4467684: 27. november 2018 – KB4467684 (OS-bygg 14393.2639)

Denne oppdateringen inkluderte følgende utgivelsesnotattekst:

«Løser et problem som hindrer domenekontrollere i å bruke policyen for gruppepolicypassord når minimum passordlengde er konfigurert til å være større enn 14 tegn.»

KB 4471327: 11. desember 2018 – KB4471321 (OS-bygg 14393.2665)

Noen kunder definerte passord med mer enn 14 tegn i policyen etter at de installerte oppdateringene for april 2018 gjennom oppdateringene for oktober 2018, som i hovedsak var sovende frem til november 2018 og desember 2018, eller en opprinnelig OS-aktivert domenekontroller for å bruke passord på mer enn 14 tegn i policyen, og dermed fjerne koblingen for tid/årsakssammenheng mellom funksjonsaktivering og policyprogram. Uansett om du har installert gruppepolicy- og domenekontrolleroppdateringer samtidig eller ikke, kan det hende du ser følgende sideeffekter:

Utsatte problemer med programmer som for øyeblikket er inkompatible med passord på mer enn 14 tegn.
Utsatte problemer når domener som består av en blanding av utgivelsesversjonen av Windows Server 2019 eller oppdaterte 2016 DCer som støtter passord med mer enn 14 tegn og forhåndsinstallert Windows Server 2016 DCer som ikke støtter passord på mer enn 14 tegn (inntil det finnes backports og er installert for Windows Server 2016).
Når du har installert KB4467684,kan det hende at klyngetjenesten ikke starter med feilen «2245 (NERR_PasswordTooShort)» hvis gruppepolicyen «Minimum passordlengde» er konfigurert med større enn 14 tegn.

Veiledningen for dette kjente problemet var å angi domenestandardpolicyen «Minimum passordlengde» til mindre enn eller lik 14 tegn. Vi jobber med å finne en løsning, og vi kommer med en oppdatering i en kommende utgivelse.

På grunn av de tidligere problemene ble støtte for dc-siden for passord på større enn 14 tegn fjernet i oppdateringene for januar 2019, slik at funksjonen ikke kan brukes.

Minimum overvåking og håndhevelse av passordlengde på bestemte versjoner av Windows

Oppsummering

Støttede versjoner av Windows

Retningslinjer for distribusjon

Gruppepolicy

Windows meldinger i hendelsesloggen

Hendelses-ID 16977

Hendelses-ID 16978

Hendelses-ID 16979 Håndhevelse

Veiledning for endring av programvarepassord

Logg

Trenger du mer hjelp?

Vil du ha flere alternativer?

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!