Resumo
Windows 10 atualizações lançadas em 18 de agosto de 2020 adiciona suporte para o seguinte:
-
Audite Eventos para identificar se aplicativos e serviços suportam senhas de 15 caracteres ou mais.
-
Imposição de comprimentos mínimos de senha de 15 caracteres ou mais no Windows Server, versão 2004 controladores de domínio (DCs).
Versões com suporte de Windows
A auditoria de comprimentos de senha é suportada nas seguintes versões de Windows. A imposição de comprimentos mínimos de senha de 15 caracteres ou mais é suportada no Windows Server, versão 2004 e em versões posteriores do Windows.
|
Versão do Windows |
KB |
Suporte |
|
Windows 10, versão 2004 |
Incluído na versão lançada |
Imposição |
|
Windows 10, versão 1909 |
Auditoria |
|
|
Windows 10, versão 1903 |
Auditoria |
|
|
|
Auditoria |
|
|
Windows 10, versão 1607 |
Auditoria |
Implantação sugerida
|
Controladores de Domínio |
Estações de Trabalho Administrativas |
|
|
Auditoria: Se apenas auditar o uso de senha abaixo de um valor mínimo, implante da seguinte maneira. |
Implante atualizações em todos os DCs com suporte onde a auditoria é desejada. |
Implantar atualizações para estações de trabalho administrativas com suporte para novas configurações de Política de Grupo. Use essas estações de trabalho para implantar políticas de grupo atualizadas. |
|
Imposição: Se a imposição de senha de comprimento mínimo for desejada, implante da seguinte forma. |
Windows Servidor, versão 2004 DCs. Todos os DCs devem estar nesta versão ou em uma versão posterior. Nenhuma atualização adicional é necessária. |
Use Windows 10 versão 2004. As novas configurações de Política de Grupo para imposição estão incluídas nesta versão. Use essas estações de trabalho para implantar políticas de grupo atualizadas. |
Diretrizes de implantação
Para adicionar suporte para auditoria e imposição de comprimento mínimo de senha, siga estas etapas:
-
Implante a atualização em todas as versões Windows suporte em todos os Controladores de Domínio.
-
Controlador de Domínio: as atualizações e atualizações posteriores permitem o suporte em todos os DCs para autenticar contas de usuário ou serviço que estão configuradas para usar senhas maiores do que 14 caracteres.
-
Estação de trabalho administrativa: implante as atualizações em estações de trabalho administrativas para permitir a aplicação das novas configurações da Política de Grupo aos DCs.
-
-
Habilita a configuração de Política de Grupo MinimumPasswordLengthAudit em um domínio ou floresta em que as senhas mais longas necessárias são desejadas. Essa configuração de política deve ser habilitada na política do controlador de domínio padrão vinculada à unidade organizacional dos controladores de domínio (OU).
-
Recomendamos deixar a política de auditoria habilitada por três a seis meses para detectar todos os softwares que não suportam senhas com mais de 14 caracteres.
-
Monitorar domínios para eventos directory-Services-SAM 16978 registrados em software que gerenciava senhas por três a seis meses. Você não precisa monitorar eventos do Directory-Services-SAM 16978 registrados em contas de usuário.
-
Se for possível, configure o software para usar um comprimento de senha maior.
-
Trabalhe com o fornecedor de software para atualizar o software para usar senhas mais longas.
-
Implante uma política de senha de granulação fina para essa conta usando um valor que corresponde ao comprimento da senha usado pelo software.
-
Para softwares que gerenciam senhas de conta, mas não usam senhas longas automaticamente e não podem ser configurados para usar senhas longas, uma política de senha fina pode ser usada para essas contas.
-
-
Depois que todos os eventos directory-Services-SAM 16978 são abordados, habilita uma senha mínima. Para fazer isso, siga estas etapas:
-
Implante uma versão do Windows Server que oferece suporte à imposição em todos os DCs (incluindo Read-Only DCs).
-
Habilita a Política de Grupo RelaxMinimumPasswordLengthLimits em todos os DCs.
-
Configure a Política de Grupo MinimumPasswordLength em todos os DCs.
-
Política de Grupo
|
Caminho da política e nome da configuração, versões com suporte |
Descrição |
|
Caminho da política: Configuração do Computador > Windows Configurações > Segurança Configurações > Políticas de Conta -> Senha -> Auditoria de comprimento mínimo de senha Nome da Com suporte em:
Uma reinicialização não é necessária |
Auditoria de comprimento mínimo de senha Essa configuração de segurança determina o comprimento mínimo de senha para o qual os eventos de aviso de auditoria de comprimento de senha são emitidos. Essa configuração pode ser configurada de 1 a 128. Você só deve habilitar e configurar essa configuração quando tentar determinar o efeito potencial de aumentar a configuração de comprimento mínimo de senha em seu ambiente. Se essa configuração não for definida, os eventos de auditoria não serão emitidos. Se essa configuração for definida e for menor ou igual à configuração de comprimento mínimo da senha, os eventos de auditoria não serão emitidos. Se essa configuração for definida e for maior do que a configuração de comprimento mínimo da senha e o tamanho de uma nova senha de conta for menor do que essa configuração, um evento de auditoria será emitido. |
|
Caminho da política e nome da configuração, versões com suporte |
Descrição |
|
Caminho da política: Configuração do Computador > Windows Configurações > Segurança Configurações > Políticas de Conta -> Política de Senha -> Descontrair limites mínimos de comprimento de senha Nome da Com suporte em:
Uma reinicialização não é necessária |
Descontrair limites mínimos de comprimento de senha herdou Essa configuração controla se a configuração de comprimento mínimo de senha pode ser aumentada além do limite herdado de 14. Se essa configuração não for definida, o tamanho mínimo da senha poderá ser configurado como no máximo 14. Se essa configuração for definida e desabilitada, o tamanho mínimo da senha poderá ser configurado como não mais do que 14. Se essa configuração for definida e habilitada, o tamanho mínimo da senha poderá ser configurado com mais de 14. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Caminho da política e nome da configuração, versões com suporte |
Descrição |
|
Caminho da política: Configuração do Computador > Windows Configurações > Segurança Configurações > Políticas de Conta -> Senha -> Tamanho mínimo da senha Nome da Com suporte em:
Uma reinicialização não é necessária |
Essa configuração de segurança determina o menor número de caracteres que uma senha para uma conta de usuário pode conter. O valor máximo dessa configuração depende do valor da configuração Descontrair limites mínimos de comprimento de senha. Se a configuração Descontrair limites mínimos de comprimento de senha não estiver definida, essa configuração poderá ser configurada de 0 a 14. Se a configuração Descontrair limites mínimos de comprimento de senha estiver definida e desabilitada, essa configuração poderá ser configurada de 0 a 14. Se a configuração Descontrair limites mínimos de comprimento de senha estiver definida e habilitada, essa configuração poderá ser configurada de 0 a 128. Definir o número necessário de caracteres como 0 significa que nenhuma senha é necessária. Observação Por padrão, os computadores membros seguem a configuração de seus controladores de domínio. Valores padrão:
Configurar essa configuração maior que 14 pode afetar a compatibilidade com clientes, serviços e aplicativos. Recomendamos que você só configure essa configuração maior que 14 depois de usar a configuração de auditoria de comprimento mínimo de senha para testar possíveis incompatibilidades na nova configuração. |
Windows de log de eventos
Três novas mensagens de log de ID de Evento são incluídas como parte desse suporte adicionado.
ID do Evento 16977
A ID do Evento 16977 será registrada quando MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsou MinimumPasswordLengthAudit são inicialmente configuradas ou modificadas na Política de Grupo. Esse evento só será registrado em DCs. O valor RelaxMinimumPasswordLengthLimits só será conectado Windows Server, Versão 2004 e DCs de versão posterior.
|
Log de eventos |
Sistema |
|
Origem do evento |
Directory-Services-SAM |
|
ID do Evento |
16977 |
|
Nível |
Informações |
|
Texto da mensagem de evento |
O domínio é configurado usando as seguintes configurações mínimas relacionadas ao comprimento da senha. MinimumPasswordLength: Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID do Evento 16978
A ID do Evento 16978 será registrada quando uma senha de conta for alterada e a senha for menor do que a configuração atual minimumPasswordLengthAudit.
|
Log de eventos |
Sistema |
|
Origem do evento |
Directory-Services-SAM |
|
ID do Evento |
16978 |
|
Nível |
Informações |
|
Texto da mensagem de evento |
A conta a seguir é configurada para usar uma senha cujo comprimento é menor do que a configuração atual minimumPasswordLengthAudit. AccountName: Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID do Evento 16979 Enforcement
A ID do Evento 16979 será registrada quando as configurações da Política de Grupo de auditoria são configuradas indeformadas. Esse evento só será registrado em DCs. O valor RelaxMinimumPasswordLengthLimits só será conectado Windows Server, Versão 2004 e DCs de versão posterior. Isso é para imposição.
|
Log de eventos |
Sistema |
|
Origem do evento |
Directory-Services-SAM |
|
ID do Evento |
16979 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
O domínio é configurado incorretamente com uma configuração MinimumPasswordLength maior que 14, enquanto o RelaxMinimumPasswordLengthLimits está indefinido ou desabilitado.
Observação Até que isso seja corrigido, o domínio imporá uma configuração minimumPasswordLength menor de 14. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=2097191. |
Auditoria da ID do Evento 16979
A ID do Evento 16979 será registrada quando as configurações da Política de Grupo de auditoria são configuradas indeformadas. Esse evento só será registrado em DCs. Uma nova mensagem de log de eventos está incluída para Auditoria como parte desse suporte adicionado.
|
Log de eventos |
Sistema |
|
Origem do evento |
Directory-Services-SAM |
|
ID do Evento |
16979 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
O domínio é configurado incorretamente com uma configuração MinimumPasswordLength maior que 14. Observação Até que isso seja corrigido, o domínio imporá uma configuração minimumPasswordLength menor de 14. Valor minimumPasswordLength atualmente configurado: Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=2097191. |
Diretrizes para alteração de senha de software
Use o comprimento máximo da senha ao definir uma senha no software.
Histórico
Embora a estratégia de segurança geral da Microsoft seja firmemente focada em um futuro sem senha, muitos clientes não podem migrar de senhas para o curto e médio prazo. Alguns clientes conscientes de segurança querem poder configurar uma configuração de comprimento mínimo de senha de domínio padrão com mais de 14 caracteres (por exemplo, os clientes podem fazer isso depois de educar seus usuários a usar frases de passagem mais longas em vez das senhas de token único e curtas tradicionais). Em suporte a essa solicitação, Windows atualizações de abril de 2018 para o Windows Server 2016 habilitaram uma alteração de Política de Grupo que aumentou o comprimento mínimo da senha de 14 para 20 caracteres. Embora essa alteração parece dar suporte a senhas mais longas, ela foi, em última análise, insuficiente e rejeitou o novo valor quando a Política de Grupo foi aplicada. Essas rejeições eram silenciosas e exigiam testes detalhados para determinar que o sistema não suportava senhas mais longas. Uma atualização de acompanhamento para a camada SAM (Gerenciador de Conta de Segurança) foi incluída para o Windows Server 2016 e o Windows Server 2019 para permitir que o sistema funcione corretamente de ponta a ponta com um comprimento mínimo de senha maior que 14 caracteres. Uma atualização de acompanhamento para a camada SAM (Gerenciador de Conta de Segurança) foi incluída para o Windows Server 2016 e o Windows Server 2019 para permitir que o sistema funcione corretamente de ponta a ponta com um comprimento mínimo de senha maior que 14 caracteres.
A configuração de política MinimumPasswordLength teve um intervalo de 0 a 14 por muito tempo (muitas décadas) em todas as plataformas Microsoft. Essa configuração se aplica a configurações Windows segurança locais e ao Active Directory (e domínios NT4 antes disso). Um valor zero (0) implica que nenhuma senha é necessária para qualquer conta.
Em versões anteriores do Windows, a interface do usuário da Política de Grupo não habilitava a definição de comprimentos mínimos necessários de senhas com mais de 14 caracteres. No entanto, em abril de 2018, lançamos as atualizações de Windows 10 que adicionaram suporte para mais de 14 caracteres na interface do usuário da Política de Grupo como parte de atualizações como:
-
KB 4093120: 17 de abril de 2018 —KB4093120 (Build 14393.2214)
Esta atualização incluiu o seguinte texto de nota de versão:
"Aumenta o comprimento mínimo de senha na Política de Grupo para 20 caracteres."
Alguns clientes que instalaram as versões de abril de 2018 e sobressam as atualizações, descobriram que ainda não podiam usar senhas maiores do que 14 caracteres. A investigação identificou que as atualizações adicionais precisavam ser instaladas em computadores de função DC que serviam as senhas maiores do que 14 caracteres definidas na política de senha. As seguintes atualizações habilitadas Windows Server 2016, Windows 10, versão 1607 e a versão inicial de controladores de domínio Windows 10 para logons de serviço e solicitações de autenticação com senhas maiores do que 14 caracteres:
-
KB 4467684: 27 de novembro de 2018 — KB4467684 (Build 14393.2639)
Esta atualização incluiu o seguinte texto de nota de versão:
"Resolve um problema que impede que os controladores de domínio aplicação da política de senha da Política de Grupo quando o comprimento mínimo da senha é configurado para ser maior do que 14 caracteres."
-
KB 4471327: 11 de dezembro de 2018 — KB4471321 (Build 14393.2665)
Alguns clientes definiram senhas maiores do que 14 caracteres na política após a instalação das atualizações de abril de 2018 até outubro de 2018, que basicamente permaneceram inativos até as atualizações de novembro de 2018 e dezembro de 2018 ou um sistema operacional nativo habilitado controladores de domínio para atender a senhas superiores a 14 caracteres na política, removendo, assim, o link de tempo/causação entre o habilitar recurso e o aplicativo de política. Se você instalou a Política de Grupo e as atualizações do controlador de domínio ao mesmo tempo ou não, você pode ver os seguintes efeitos colaterais:
-
Problemas expostos com aplicativos atualmente incompatíveis com senhas maiores do que 14 caracteres.
-
Problemas expostos quando domínios que consistem em uma mistura da versão de lançamento do Windows Server 2019 ou DCs atualizados de 2016 que suportam senhas maiores do que 14 caracteres e DCs pré-Windows Server 2016 que não suportam senhas maiores do que 14 caracteres (até que existam backports e sejam instalados para Windows Server 2016).
-
Após a instalação do KB4467684, o serviço de cluster pode não começar com o erro "2245 (NERR_PasswordTooShort)" se a Política de Grupo "Tamanho Mínimo da Senha" estiver configurada com mais de 14 caracteres.
A orientação para esse problema conhecido era definir a política padrão de "Comprimento Mínimo de Senha" do domínio como menor ou igual a 14 caracteres. Estamos trabalhando em uma solução e forneceremos uma atualização em breve.
Devido aos problemas anteriores, o suporte do lado DC para senhas maiores do que 14 caracteres foi removido nas atualizações de janeiro de 2019 para que o recurso não possa ser usado.
