Podsumowanie
Windows 10 opublikowane 18 sierpnia 2020 r. dodano obsługę następujących funkcji:
-
Zdarzenia inspekcji, aby określić, czy aplikacje i usługi obsługują 15-znakowe, czy dłuższe hasła.
-
Wymuszanie minimalnej długości haseł 15-znakowej lub większej w Windows Server w wersji 2004 kontrolerów domeny.
Obsługiwane wersje Windows
Inspekcja długości haseł jest obsługiwana w następujących wersjach programu Windows. Wymuszanie minimalnej długości hasła co najmniej 15 znaków jest obsługiwane w programie Windows Server, w wersji 2004 oraz w nowszych wersjach Windows.
|
Wersja systemu Windows |
KB |
Pomoc techniczna |
|
Windows 10, wersja 2004 Windows |
Uwzględnione w wydanej wersji |
Wymuszanie |
|
Windows 10, wersja 1909 Windows |
Inspekcja |
|
|
Windows 10, wersja 1903 |
Inspekcja |
|
|
|
Inspekcja |
|
|
Windows 10, wersja 1607 |
Inspekcja |
Sugerowane wdrożenie
|
Kontrolery domen |
Administracyjne stacje robocze |
|
|
Inspekcja: Jeśli inspekcja użycia haseł jest poniżej wartości minimalnej, należy wdrożyć w następujący sposób. |
W razie potrzeby wdaj aktualizacje we wszystkich obsługiwanych komputerach z inspekcją. |
Wdrażaj aktualizacje na obsługiwanych stanowiskach administracyjnych na nowych zasady grupy komputerach. Użyj tych stacji roboczych, aby wdrożyć zaktualizowane zasady grupy. |
|
Wymuszanie: Jeśli wymuszanie hasła o minimalnej długości jest wymagane, wdróż je w następujący sposób. |
Windows Server, wersja 2004 DCs. Wszystkie dokumenty muszą być w tej lub nowszej wersji. Nie są wymagane żadne dodatkowe aktualizacje. |
Użyj Windows 10 wersji 2004. Nowa wersja zasady grupy wymusze jest dostępna w tej wersji. Użyj tych stacji roboczych, aby wdrożyć zaktualizowane zasady grupy. |
Wskazówki dotyczące wdrażania
Aby dodać obsługę minimalnej długości inspekcji i wymuszania haseł, wykonaj następujące czynności:
-
Wdeksuj aktualizację we wszystkich obsługiwanych Windows kontrolerach domeny.
-
Kontroler domeny: Aktualizacje i nowsze umożliwiają uwierzytelnienie kont użytkowników lub usług we wszystkich komputerach z ponad 14-znakowymi hasłami.
-
Stacja robocza administracyjna: Wdeksuj aktualizacje na stanowiskach administracyjnych, aby umożliwić stosowanie nowych zasady grupy do komputerów stacjonarnych.
-
-
Włącz ustawienie Minimalna_hasło_hasłoLengthAudit zasady grupy w domenie lub lesie, do którego są wymagane dłuższe hasła. To ustawienie zasad powinno być włączone w domyślnych zasadach kontrolera domeny połączonych z jednostką organizacyjną kontrolerów domeny.
-
Zalecamy pozostawienie włączonych zasad inspekcji przez od trzech do sześciu miesięcy w celu wykrycia całego oprogramowania, które nie obsługuje haseł o więcej niż 14 znakach.
-
Monitoruj domeny pod względem zdarzeń SAM 16978 zarejestrowanych w oprogramowaniu, które zarządzało hasłami przez od trzech do sześciu miesięcy. Nie musisz monitorować zdarzeń directory-services-SAM 16978 zarejestrowanych dla kont użytkowników.
-
Jeśli jest to możliwe, skonfiguruj oprogramowanie tak, aby używało dłuższej długości hasła.
-
We współpracy z dostawcą oprogramowania zaktualizuj oprogramowanie, aby używać dłuższych haseł.
-
Wdeksuj precyzyjnie zasady dotyczące haseł dla tego konta, używając wartości, która jest taka, jak długość hasła używana przez oprogramowanie.
-
W przypadku oprogramowania, które zarządza hasłami kont, ale nie używa automatycznie długich haseł i nie można ich skonfigurować do używania długich haseł, dla tych kont można stosować precyzyjne zasady dotyczące haseł.
-
-
Gdy wszystkie zdarzenia Directory-Services-SAM 16978 zostaną rozwiązane, włącz hasło minimalne. W tym celu wykonaj następujące czynności:
-
Wdróż wersję programu Windows, która obsługuje wymuszanie na wszystkich komputerach (w tym w Read-Only danych).
-
Włącz funkcję RelaxMinimumPasswordLengthLimits zasady grupy wszystkich kodach DCs.
-
Skonfiguruj wartość Minimalna_hasłoLength zasady grupy na wszystkich komputerach z systemem .
-
Zasady grupy
|
Ścieżka zasad i nazwa ustawienia, obsługiwane wersje |
Opis |
|
Ścieżka zasad: Konfiguracja komputera > Windows Ustawienia > Zasady Ustawienia > kont -> Zasady dotyczące haseł -> Inspekcja minimalnej długości haseł Obsługiwane w dniu:
Ponowne uruchomienie nie jest wymagane |
Inspekcja minimalnej długości hasła To ustawienie zabezpieczeń określa minimalną długość hasła, przez którą są wyświetlane zdarzenia ostrzegawcze dotyczące długości haseł. To ustawienie można skonfigurować od 1 do 128. To ustawienie należy włączyć i skonfigurować tylko podczas próby określenia potencjalnego efektu zwiększenia minimalnej długości hasła w środowisku. Jeśli to ustawienie nie jest zdefiniowane, nie będą wystawiane zdarzenia inspekcji. Jeśli to ustawienie jest zdefiniowane i jest mniejsze niż lub równe ustawieniu minimalnej długości hasła, nie będą wystawiane zdarzenia inspekcji. Jeśli to ustawienie jest zdefiniowane i jest większe niż ustawienie minimalnej długości hasła, a długość hasła nowego konta jest mniejsza niż to ustawienie, zostanie wydane zdarzenie inspekcji. |
|
Ścieżka zasad i nazwa ustawienia, obsługiwane wersje |
Opis |
|
Ścieżka zasad: Konfiguracja komputera > Windows Ustawienia > Zasady konta Ustawienia > -> Zasady dotyczące haseł > Limity minimalnej długości haseł Relax — ustawienia Obsługiwane w dniu:
Ponowne uruchomienie nie jest wymagane |
Relax minimum password length legacy limits To ustawienie określa, czy ustawienie minimalnej długości hasła można zwiększyć poza starszy limit 14. Jeśli to ustawienie nie jest zdefiniowane, minimalna długość hasła może być skonfigurowana na nie więcej niż 14. Jeśli to ustawienie jest określone i wyłączone, minimalna długość hasła może być skonfigurowana na nie więcej niż 14. Jeśli to ustawienie jest zdefiniowane i włączone, minimalna długość hasła może być większa niż 14. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Ścieżka zasad i nazwa ustawienia, obsługiwane wersje |
Opis |
|
Ścieżka zasad: Konfiguracja komputera > Windows Ustawienia > zasady Ustawienia > -> hasło -> Minimalna długość hasła Obsługiwane w dniu:
Ponowne uruchomienie nie jest wymagane |
To ustawienie zabezpieczeń określa najmniejszą liczbę znaków, które może zawierać hasło do konta użytkownika. Wartość maksymalna tego ustawienia zależy od wartości ustawienia Limity minimalnej długości hasła Relax. Jeśli nie zdefiniowano ustawienia Limity minimalnej długości haseł Relax, to ustawienie można skonfigurować z 0 do 14. Jeśli ustawienie Limity minimalnej długości haseł Relax jest zdefiniowane i wyłączone, to ustawienie może być konfigurowane z 0 do 14. Jeśli zostanie zdefiniowane i włączone ustawienie Limity minimalnej długości haseł Relax, może to być konfigurowane z 0 do 128. Ustawienie wymaganej liczby znaków na 0 oznacza, że hasło nie jest wymagane. Uwaga Domyślnie komputery członków obserwują konfigurację kontrolerów domeny. Wartości domyślne:
Skonfigurowanie tego ustawienia większej niż 14 może mieć wpływ na zgodność z klientami, usługami i aplikacjami. Zalecane jest skonfigurowanie tego ustawienia większego niż 14 po użyciu ustawienia inspekcji Minimalnej długości haseł w celu testowania potencjalnych niezgodności nowego ustawienia. |
Windows wiadomości dziennika zdarzeń
W ramach dodanej obsługi uwzględniono trzy nowe komunikaty dziennika identyfikatorów zdarzeń.
Identyfikator zdarzenia 16977
Identyfikator zdarzenia 16977 zostanie zarejestrowany, gdy ustawienia zasad MinimumPasswordLength,RelaxMinimumPasswordLengthLimitslub MinimumPasswordLengthAudit zostaną wstępnie skonfigurowane lub zmodyfikowane w zasady grupy. To zdarzenie zostanie zarejestrowane tylko w przypadku komputerów z systemem Windows. Wartość RelaxMinimumPasswordLengthLimits jest rejestrowana tylko w programie Windows Server, w wersji 2004 i w nowszych wersjach.
|
Dziennik zdarzeń |
System |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Identyfikator zdarzenia |
16977 |
|
Poziom |
Informacje |
|
Tekst wiadomości zdarzenia |
Domena jest konfigurowana przy użyciu następujących minimalnych ustawień dotyczących długości haseł. Minimalna_wartość_hasłaLength: Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=2097191. |
Identyfikator zdarzenia 16978
Identyfikator zdarzenia 16978 zostanie zarejestrowany w przypadku zmiany hasła konta, a hasło będzie krótsze niż bieżące ustawienie MinimumPasswordLengthAudit.
|
Dziennik zdarzeń |
System |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Identyfikator zdarzenia |
16978 |
|
Poziom |
Informacje |
|
Tekst wiadomości zdarzenia |
Następujące konto jest skonfigurowane do używania hasła, którego długość jest mniejsza niż bieżące ustawienie MinimumPasswordLengthAudit. AccountName: Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=2097191. |
Wymuszanie identyfikatora zdarzenia 16979
Identyfikator zdarzenia 16979 zostanie zarejestrowany, gdy ustawienia zasady grupy zostaną nieprawidłowo skonfigurowane. To zdarzenie zostanie zarejestrowane tylko w przypadku komputerów z systemem Windows. Wartość RelaxMinimumPasswordLengthLimits będzie rejestrowana tylko w programie Windows Server w wersji 2004 i nowszej. Wymuszanie.
|
Dziennik zdarzeń |
System |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Identyfikator zdarzenia |
16979 |
|
Poziom |
Błąd |
|
Tekst wiadomości zdarzenia |
Domena jest niepoprawnie skonfigurowana przy użyciu ustawienia MinimumPasswordLength większe niż 14, a wartość RelaxMinimumPasswordLengthLimits jest niezdefiniowana lub wyłączona.
Uwaga Do czasu, aż zostanie to poprawione, domena będzie wymuszać mniejsze ustawienie MinimumPasswordLength o wartości 14. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=2097191. |
Identyfikator zdarzenia 16979 Inspekcja
Identyfikator zdarzenia 16979 zostanie zarejestrowany, gdy ustawienia zasady grupy zostaną nieprawidłowo skonfigurowane. To zdarzenie zostanie zarejestrowane tylko w przypadku komputerów z systemem Windows. W ramach dodanej obsługi dodano jedną nową wiadomość dziennika zdarzeń na temat inspekcji.
|
Dziennik zdarzeń |
System |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Identyfikator zdarzenia |
16979 |
|
Poziom |
Błąd |
|
Tekst wiadomości zdarzenia |
Domena jest niepoprawnie skonfigurowana przy użyciu ustawienia MinimumPasswordLength, które jest większe niż 14. Uwaga Do czasu, aż zostanie to poprawione, domena będzie wymuszać mniejsze ustawienie Minimalne_hasłoLength z wartości 14. Obecnie skonfigurowano wartość Minimalna_hasłoLength: Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=2097191. |
Wskazówki dotyczące zmiany hasła oprogramowania
Podczas ustawiania hasła w oprogramowaniu używaj maksymalnej długości hasła.
Historia
Mimo że ogólna strategia firmy Microsoft w zakresie zabezpieczeń jest dobrze skoncentrowana na przyszłości bez haseł, wielu klientów nie może migrować z haseł w krótkim okresie do średniego terminu. Niektórzy klienci korzystający z zabezpieczeń chcą mieć możliwość skonfigurowania domyślnego ustawienia minimalnej długości hasła domeny, które jest większe niż 14 znaków (na przykład klienci mogą to zrobić po upływie okresu, w którym użytkownicy powinni używać dłuższych zwrotów zamiast tradycyjnych krótkich haseł pojedynczych tokenów). W związku z tym żądaniem aktualizacje Windows w kwietniu 2018 r. dla programu Windows Server 2016 włączyły zmianę zasady grupy, która zwiększała minimalną długość hasła z 14 do 20 znaków. Ta zmiana wydawała się obsługiwać dłuższe hasło, ale była ostatecznie niewystarczająca i odrzuciła nową wartość po zastosowaniu zasady grupy hasła. Odrzucenia zostały dyskretne i wymagały szczegółowego testowania, aby ustalić, że system nie obsługuje dłuższych haseł. Uwzględniono aktualizację dodatkową do warstwy Menedżer kont zabezpieczeń (SAM) zarówno dla programu Windows Server 2016, jak i programu Windows Server 2019, aby umożliwić poprawne działania systemu o minimalnej długości hasła większej niż 14 znaków. Uwzględniono aktualizację dodatkową do warstwy Menedżer kont zabezpieczeń (SAM) zarówno dla programu Windows Server 2016, jak i programu Windows Server 2019, aby umożliwić poprawne działania systemu o minimalnej długości hasła większej niż 14 znaków.
Ustawienie zasad MinimumPasswordLength miało dopuszczalne wartości od 0 do 14 przez bardzo długi czas (wiele osób) na wszystkich platformach Microsoft. To ustawienie dotyczy zarówno lokalnych ustawień zabezpieczeń usługi Windows, jak i domen active Directory (oraz domen NT4). Wartość zero (0) oznacza, że dla każdego konta nie jest wymagane hasło.
We wcześniejszych wersjach programu Windows interfejs użytkownika zasady grupy nie umożliwiał ustawiania minimalnej wymaganej długości hasła dłuższej niż 14 znaków. Jednak w kwietniu 2018 r. opublikowano aktualizacje programu Windows 10, które dodały obsługę ponad 14 znaków w interfejsie użytkownika aplikacji zasady grupy w ramach takich aktualizacji, jak:
-
KB 4093120:17 kwietnia 2018 r. — KB4093120 (kompilacja systemu operacyjnego 14393.2214)
Ta aktualizacja zawierała następujący tekst informacji o wersji:
"Minimalna długość hasła wynosi zasady grupy do 20 znaków".
Niektórzy klienci, którzy zainstalują wersje z kwietnia 2018 r. i wykonują aktualizacje, odkryli, że nadal nie mogą używać ponad 14-znakowych haseł. Badanie stwierdzono, że należy zainstalować dodatkowe aktualizacje na komputerach ról z obsługą ponad 14-znakowych haseł zdefiniowanych w zasadach haseł. Następujące aktualizacje Windows Server 2016, Windows 10 1607 i początkową wersję kontrolerów domeny Windows 10 do logowania usługi i żądań uwierzytelniania z ponad 14-znakami hasła:
-
KB 4467684:27 listopada 2018 r. — KB4467684 (kompilacja systemu operacyjnego 14393.2639)
Ta aktualizacja zawierała następujący tekst informacji o wersji:
"Rozwiązuje problem uniemożliwiający kontrolerom domen stosowanie zasad zasady grupy haseł, gdy minimalna długość hasła jest skonfigurowana jako większa niż 14 znaków".
-
KB 4471327:11 grudnia 2018 r. — KB4471321 (kompilacja systemu operacyjnego 14393.2665)
Niektórzy klienci zdefiniowały w zasadach ponad 14-znakowe hasła po zainstalowaniu aktualizacji z kwietnia 2018 r. do października 2018 r., które w zasadzie pozostają nieaktywne do aktualizacji z listopada 2018 r. i grudnia 2018 r. lub w przypadku natywnych kontrolerów domeny z włączoną obsługą systemu operacyjnego do obsługi większych niż 14-znakowych haseł w zasadach, co usuwa link czasu/causation między włączaniem funkcji i aplikacją zasad. Niezależnie od tego, zasady grupy i aktualizacje kontrolera domeny w tym samym czasie, mogą zostać wyświetlony następujące efekty boczne:
-
Widoczne problemy z aplikacjami, które są obecnie niezgodne z ponad 14-znakowymi hasłami.
-
Widoczne problemy, gdy domeny składający się z mieszanych wersji programu Windows Server 2019 lub zaktualizowanych dokumentów 2016 obsługują ponad 14-znakowe hasła i przedpremierowe komputery DCs programu Windows Server 2016, które nie obsługują haseł większych niż 14-znakowe (dopóki nie istnieją i nie są zainstalowane dla Windows Server 2016).
-
Po zainstalowaniu aktualizacji KB4467684uruchomienie usługi klastrowania może się nie powieść z błędem "2245 (NERR_PasswordTooShort)", jeśli skonfigurowano "minimalną długość hasła" zasady grupy o długości większej niż 14 znaków.
Wskazówki dotyczące tego znanego problemu to ustawienie domyślnej zasady domeny "Minimalna długość hasła" na wartość mniejszą lub równą 14 znakom. Pracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji.
Ze względu na wcześniejsze problemy obsługa ponad 14-znakowych haseł po stronie dc została usunięta w aktualizacjach ze stycznia 2019 r., więc tej funkcji nie można używać.
