Сводка
Windows 10 обновления, выпущенные 18 августа 2020 г., поддерживают следующие:
-
События аудита, чтобы определить, поддерживают ли приложения и службы 15- или более длинные пароли.
-
На контроллерах доменов Windows Server версии 2004 (DCS) должен быть пароль длиной не менее 15 символов.
Поддерживаемые версии Windows
Аудит длины паролей поддерживается в следующих версиях Windows. Минимальная длина пароля не менее 15 символов поддерживается в Windows Server версии 2004 и более поздних Windows.
|
Версия Windows |
KB |
Поддержка |
|
Windows 10, версия 2004 Windows |
Включено в выпущенную версию |
Правоприменители |
|
Windows 10, версия 1909 Windows |
Аудита |
|
|
Windows 10, версия 1903 Windows |
Аудита |
|
|
|
Аудита |
|
|
Windows 10 версии 1607 Windows Server 2016 |
Аудита |
Рекомендуемая развертывание
|
Контроллеры доменов |
Административные рабочие станции |
|
|
Аудита: Если при аудите использования паролей меньше минимального значения, выполните развертывание следующим образом. |
Развертывание обновлений на всех поддерживаемых DCS, для которых требуется аудит. |
Развертывание обновлений на поддерживаемых административных рабочих станциях для новых параметров групповой политики. Используйте эти рабочие станции для развертывания обновленных групповых политик. |
|
Исполнения: Если требуется вводить пароль минимальной длины, развернем его следующим образом. |
Windows Сервер, DCS версии 2004. Все компьютеры должны быть в этой или более поздней версии. Дополнительных обновлений не требуется. |
Используйте Windows 10 версии 2004. В эту версию включены новые параметры групповой политики для обеспечения соблюдения. Используйте эти рабочие станции для развертывания обновленных групповых политик. |
Рекомендации по развертыванию
Чтобы добавить поддержку аудита и принудительных действий по минимальной длине паролей, выполните указанные здесь действия.
-
Развертывание обновления для всех поддерживаемых Windows на всех контроллерах доменов.
-
Контроллер домена. Обновления и последующие обновления обеспечивают поддержку на всех компьютерах с windows для проверки подлинности учетных записей пользователей или служб, настроенных для использования более 14-символьных паролей.
-
Административная рабочая станция: разместите обновления на административных рабочих станциях, чтобы разрешить применение новых параметров групповой политики к DCS.
-
-
Вите параметр групповой политики MinimumPasswordLengthAudit в домене или лесу, где требуются более длинные пароли. Этот параметр политики должен быть включен в политику контроллера домена по умолчанию, связанную с контроллерами доменов в подразделении (OU).
-
Мы рекомендуем оставить политику аудита включенной в течение трех–шести месяцев, чтобы обнаружить все программы, которые не поддерживают пароли более 14 символов.
-
Отслеживайте домены для событий Directory-Services-SAM 16978, которые регистрируются в программном обеспечении, которое управляло паролями в течение трех–шести месяцев. Не нужно отслеживать события Directory-Services-SAM 16978, которые регистрируются в учетных записях пользователей.
-
Если возможно, настройте в программном обеспечении более длинную длину паролей.
-
Работайте с поставщиком программного обеспечения, чтобы обновить программное обеспечение для использования длинных паролей.
-
Развернйте для этой учетной записи тонкая политика паролей, используя значение, которое соответствует длине пароля, используемой программным обеспечением.
-
Для программного обеспечения, которое управляет паролями учетных записей, но не использует длинные пароли автоматически и не может быть настроено для использования длинных паролей, для этих учетных записей можно использовать тонкая политика паролей.
-
-
После того как будут устранены все события Directory-Services-SAM 16978, вйте минимальный пароль. Для этого выполните указанные ниже действия.
-
Разместим версию Windows Server, которая поддерживает их применимый к всем DCs (включая Read-Only DCs).
-
Включить групповую политику RelaxMinimumPasswordLengthLimits на всех DCS.
-
Настройте групповую политику MinimumPasswordLength на всех DCs.
-
Групповая политика
|
Путь политики и имя параметра, поддерживаемые версии |
Описание |
|
Путь политики: Computer Configuration > Windows Параметры > Security Параметры > Account Policies -> Password Policy -> Minimum Password Length Поддерживается в:
Перезапуск не требуется |
Аудит минимальной длины паролей Этот параметр безопасности определяет минимальную длину пароля, для которой выпускаются события аудита длины пароля. Этот параметр может быть настроен с 1 до 128. Этот параметр следует включить и настроить только при попытке определить возможный эффект увеличения минимальной длины пароля в вашей среде. Если этот параметр не определен, события аудита не выпускаются. Если этот параметр определен и меньше или равен минимальной длине пароля, события аудита не выпускаются. Если этот параметр задан и больше минимальной длины пароля и длина нового пароля учетной записи меньше этого параметра, будет выдано событие аудита. |
|
Путь политики и имя параметра, поддерживаемые версии |
Описание |
|
Путь политики: Конфигурация компьютера > Windows Параметры > политики безопасности Параметры > учетных записей -> политика паролей -> Удалите минимальные ограничения длины паролей Поддерживается в:
Перезапуск не требуется |
Отдохнуть от устаревших ограничений на минимальную длину паролей Этот параметр управляет тем, можно ли увеличить минимальную длину пароля после 14 устаревших параметров. Если этот параметр не определен, минимальная длина пароля может быть не больше 14. Если этот параметр определен и отключен, минимальная длина пароля может быть не больше 14. Если этот параметр определен и включен, минимальная длина пароля может быть настроена более 14. Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 . |
|
Путь политики и имя параметра, поддерживаемые версии |
Описание |
|
Путь политики: Computer Configuration > Windows Параметры > Security Параметры > Account Policies -> Password Policy -> Minimum Password Length Поддерживается в:
Перезапуск не требуется |
Этот параметр безопасности определяет наименьшее количество символов, которые может содержать пароль для учетной записи пользователя. Максимальное значение для этого параметра зависит от значения ограничения минимальной длины пароля "Отдых". Если не определено ограничение минимальной длины пароля Для отдыха, этот параметр может быть настроен от 0 до 14. Если определено и отключено ограничение минимальной длины паролей "Расслабьтесь", этот параметр может быть настроен от 0 до 14. Если определено и включено ограничение минимальной длины паролей "Расслабьтесь", этот параметр может быть настроен от 0 до 128. Если необходимое количество знаков задайте 0, пароль не потребуется. Примечание По умолчанию компьютеры членов группы должны следовать конфигурации контроллеров доменов. Значения по умолчанию:
Настройка этого параметра больше 14 может повлиять на совместимость с клиентами, службами и приложениями. Мы рекомендуем настроить этот параметр больше 14 после использования параметра "Минимальная длина пароля" для проверки на совместимость с новым параметром. |
Windows сообщений журнала событий
В рамках этой добавленной поддержки добавлены три новых сообщения журнала ид событий.
ИД события 16977
Код события 16977 регистрируется, когда параметры политики MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsили MinimumPasswordLengthAudit изначально настроены или изменены в групповой политике. Это событие будет регистрироваться только на DCS. Значение RelaxMinimumPasswordLengthLimits будет регистрироваться только в Windows Server, версии 2004 и более поздней версии.
|
Журнал событий |
Система |
|
Источник события |
Directory-Services-SAM |
|
Идентификатор события |
16977 |
|
Уровень |
Информация |
|
Текст сообщения о событии |
Домен настроен с помощью следующих минимальных параметров, связанных с длиной пароля: MinimumPasswordLength: Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 . |
ИД события 16978
Код события 16978 регистрируется при смене пароля учетной записи, а пароль короче текущего параметра MinimumPasswordLengthAudit.
|
Журнал событий |
Система |
|
Источник события |
Directory-Services-SAM |
|
Идентификатор события |
16978 |
|
Уровень |
Информация |
|
Текст сообщения о событии |
В следующей учетной записи используется пароль, длина которого меньше текущего параметра MinimumPasswordLengthAudit. AccountName: Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 . |
Event ID 16979 Enforcement
ИД события 16979 регистрируется при неправильной настройке параметров групповой политики аудита. Это событие будет регистрироваться только на DCS. Значение RelaxMinimumPasswordLengthLimits будет регистрироваться только в Windows Server, версия 2004 и более поздние версии. Это для принудительного выполнения.
|
Журнал событий |
Система |
|
Источник события |
Directory-Services-SAM |
|
Идентификатор события |
16979 |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
В домене неправильно настроен параметр MinimumPasswordLength, который больше 14, в то время как параметр RelaxMinimumPasswordLengthLimits неопределен или отключен.
Примечание Пока этот параметр не будет исправлен, в домене будет применяться меньший параметр MinimumPasswordLength (14). Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 . |
Аудит событий 16979
ИД события 16979 регистрируется при неправильной настройке параметров групповой политики аудита. Это событие будет регистрироваться только на DCS. В рамках этой добавленной поддержки для аудита добавляется одно новое сообщение журнала событий.
|
Журнал событий |
Система |
|
Источник события |
Directory-Services-SAM |
|
Идентификатор события |
16979 |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
В домене неправильно настроен параметр MinimumPasswordLength, который больше 14. Примечание До тех пор, пока этот параметр не будет исправлен, в домене будет применяться меньший параметр MinimumPasswordLength ( 14). В настоящее время настроено значение MinimumPasswordLength: Дополнительные сведения см. в https://go.microsoft.com/fwlink/?LinkId=2097191. |
Руководство по изменению пароля программного обеспечения
Используйте максимальную длину пароля при установке пароля в программном обеспечении.
"Журнал"
Хотя общая стратегия безопасности Майкрософт строго ориентирована на будущее без паролей, многие клиенты не могут перейти от паролей в кратко-средний срок. Некоторые клиенты с вопросами безопасности хотят настроить минимальную длину пароля домена по умолчанию, которая превышает 14 символов (например, клиенты могут сделать это после того, как поместят пользователей в длинные пароли вместо традиционных коротких однотонных паролей). В поддержку этого запроса Windows обновления в апреле 2018 г. для Windows Server 2016 включили изменение групповой политики, увеличив минимальную длину пароля с 14 до 20 символов. Хотя это изменение оказалось для поддержки более длинных паролей, в конечном итоге было недостаточно и отклонено новое значение при применении групповой политики. Эти отказы были без комментариев и требуют подробного тестирования, чтобы определить, что система не поддерживает длинные пароли. Для Windows Server 2016 и Windows Server 2019 было включено обновление до уровня Диспетчера учетных записей безопасности (SAM), чтобы обеспечить правильную работу системы с минимальной длиной пароля более 14 символов. Для Windows Server 2016 и Windows Server 2019 было включено обновление до уровня Диспетчера учетных записей безопасности (SAM), чтобы обеспечить правильную работу системы с минимальной длиной пароля более 14 символов.
Параметр политики MinimumPasswordLength имеет допустимый диапазон от 0 до 14 в течение очень долгого времени (много разных вариантов) на всех платформах Майкрософт. Этот параметр применяется как к локальным Windows безопасности, так и к доменам Active Directory (и доменам NT4). Ноль (0) означает, что для какой-либо учетной записи не требуется пароль.
В более ранних версиях Windows пользовательский интерфейс групповой политики не включает настройку минимальной длины пароля длиной более 14 символов. Однако в апреле 2018 г. мы выпустили обновления Windows 10, которые добавили поддержку более 14 символов в пользовательском интерфейсе групповой политики в составе таких обновлений, как:
-
KB 4093120: 17 апреля 2018 г. — KB4093120 (сборка ОС 14393.2214)
Это обновление содержит следующий текст заметки о выпуске:
"Увеличивает минимальную длину пароля в групповой политике до 20 символов".
Некоторые клиенты, которые установили выпуски за апрель 2018 г. и новые обновления, обнаружили, что им по-прежнему не удалось использовать более 14-символьных паролей. В ходе исследования было установлено, что на компьютерах с ролями DC, обслуживающих более 14-знаки паролей, определенных в политике паролей, необходимо установить дополнительные обновления. Включены следующие обновления Windows Server 2016, Windows 10, версии 1607, а также первоначальный выпуск контроллеров домена Windows 10 для входа в службу и запросов на проверку подлинности с более чем 14-символьными паролями:
-
KB 4467684: 27 ноября 2018 г. — KB4467684 (сборка ОС 14393.2639)
Это обновление содержит следующий текст заметки о выпуске:
"Устранение проблемы, которая не позволяет контроллерам доменов применять политику паролей групповой политики, если минимальная длина пароля превышает 14 символов".
-
KB 4471327: 11 декабря 2018 г. — KB4471321 (сборка ОС 14393.2665)
После установки обновлений с апреля 2018 г. по октябрь 2018 г. некоторые клиенты установили в политике более 14 паролей, которые фактически оставались неавторьными до обновлений за ноябрь 2018 г. и декабрь 2018 г., или контроллеры доменных имен, включенные в ос, для обслуживания более 14-знака паролей, что приводит к удалению связи времени и причинности между включенными функциями и приложением политики. Независимо от того, обновлялись ли вы одновременно с групповой политикой и контроллером домена, вы можете увидеть следующие побочные эффекты:
-
Выявлены проблемы с приложениями, которые в настоящее время несовместимы с более чем 14-символными паролями.
-
Выявлены проблемы, когда домены, которые состоят из сочетания выпусков Windows Server 2019 или обновленных DCS 2016, которые поддерживают более 14-знаки паролей и готовых DCS Windows Server 2016, которые не поддерживают более 14-символьных паролей (до тех пор, пока не будут установлены и установлены для Windows Server 2016).
-
После установки KB4467684служба кластеров может не начаться с ошибки "2245 (NERR_PasswordTooShort)", если в групповой политике установлена минимальная длина пароля длиной более 14 символов.
В этой известной проблеме указана политика минимальной длины пароля по умолчанию не более 14 символов. Мы работаем над решением этой проблемы и предоставим обновление в ближайшем выпуске.
Из-за предыдущих проблем поддержка более 14-знака паролей была удалена в обновлениях за январь 2019 г., что не позволяет использовать эту функцию.
