Auditovanie a presadzovanie minimálnej dĺžky hesla v niektorých verziách Windows

Zhrnutie

Windows 10 aktualizáciami vydaná 18. augusta 2020 pridáva podporu pre:

• Audit udalostí a zistenie, či aplikácie a služby podporujú 15-znakové alebo dlhšie heslá.

• Vynútenie minimálnej dĺžky hesla minimálne 15 znakov v prípade Windows Server, radičov domén (DCs) verzie 2004.

Podporované verzie Windows

Auditovanie dĺžky hesiel je podporované v nasledujúcich verziách balíka Windows. Presadzovanie minimálnej dĺžky hesla 15 alebo viac znakov je podporovaná vo Windows Serveri, verzii 2004 a novších verziách Windows.

Navrhované nasadenie

Pokyny na nasadenie

Ak chcete pridať podporu pre auditovanie a presadzovanie minimálnej dĺžky hesla, postupujte takto:

1. Nasadiť aktualizáciu vo všetkých podporovaných Windows všetkých radičoch domén.

   1. Radič domény: Aktualizácie a novšie aktualizácie povoľte podporu vo všetkých DCs na overenie používateľských kont alebo kont služieb, ktoré sú nakonfigurované na používanie viac než 14-znakových hesiel.

   2. Administratívna pracovná stanice: Nasaďte aktualizácie do administratívnych pracovných stanicech, aby ste mohli používať nové nastavenia skupinovej politiky v pracovných stanicech.

2. Povoľte nastavenie skupinovej politiky MinimumPasswordLengthAudit v doméne alebo doménovej štruktúre, v ktorej sa vyžadujú dlhšie požadované heslá. Toto nastavenie politiky by malo byť povolené v predvolenej politike radiča domény, ktorá je prepojená s organizačnou jednotkou radičov domén (OU).

3. Odporúčame ponechať politiku auditovania povolenú na tri až šesť mesiacov, aby sa zistil všetok softvér, ktorý nepodporuje heslá väčšie ako 14 znakov.

4. Monitorujte domény pre udalosti v službách Directory-Services-SAM 16978 zaznamenané v softvéri, v ktorých sa spravujú heslá počas troch až šiestich mesiacov. Nie je potrebné monitorovať udalosti Directory-Services-SAM 16978 zaznamenané v používateľských kontách.

   1. Ak je to možné, nakonfigurujte softvér tak, aby používal dlhšie heslo.

   2. Ak chcete, aby sa v softvéri používali dlhšie heslá, pracujte s dodávateľom softvéru.

   3. Pre toto konto je možné nasadiť premnožnú politiku hesiel pomocou hodnoty, ktorá zodpovedá dĺžke hesiel, ktorú softvér používa.

   4. V prípade softvéru, ktorý spravuje heslá kont, no nepoužíva dlhé heslá automaticky, a nie je možné ich nakonfigurovať na používanie dlhých hesiel, je pre tieto kontá možné použiť aj premýšnuci politiku hesiel.

5. Po vyriešení všetkých udalostí v directory-services-SAM 16978 povoľte minimálne heslo. Ak to chcete urobiť, postupujte podľa týchto krokov:

   1. Nasadiť verziu Windows Servera, ktorá podporuje presadzovanie vo všetkých DCs (vrátane Read-Only DCs).

   2. Povoľte skupinovú politiku RelaxMinimumPasswordLengthLimits vo všetkých DCs.

   3. Nakonfigurujte skupinovú politiku MinimumPasswordLength vo všetkých DCs.

Skupinová politika

Windows denníkov udalostí

Súčasťou tejto pridanej podpory sú tri nové správy denníka identifikácie udalosti.

Pokyny na zmenu softvérových hesiel

Pri nastavovaní hesla v softvéri používajte maximálnu dĺžku hesla.

História

Napriek tomu, že celková stratégia zabezpečenia spoločnosti Microsoft je pevne zameraná na budúce heslo, mnohí zákazníci nemôžu migrovať heslá z hľadiska krátkeho až stredne stredného hľadiska. Niektorí zákazníci s o úroveň zabezpečenia si chcú byť schopní nakonfigurovať nastavenie predvolenej minimálnej dĺžky hesla domény, ktoré je väčšie ako 14 znakov (môžu to urobiť napríklad zákazníci, keď poučia používateľov, aby namiesto tradičných krátkych hesiel s jedným tokenom mali k dispozícii dlhšie prístupové frázy). Na podporu tejto žiadosti aktualizácie Windows z apríla 2018 pre Windows Server 2016 povolili zmenu skupinovej politiky, ktorá zvýšila minimálnu dĺžku hesla z 14 na 20 znakov. Hoci sa táto zmena javí ako podpora pre dlhšie heslo, po použití skupinovej politiky bola nakoniec nepostačujúá a odmietnutá. Tieto odmietnutia neboli zadané a vyžadovali podrobné testovanie na zistenie, že systém neponúkal dlhšie heslá. Aktualizácia následných krokov na vrstvu SAM (Security Account Manager) bola zahrnutá pre Windows Server 2016 aj Windows Server 2019, aby mal systém minimálnu dĺžku hesla väčšiu ako 14 znakov. Aktualizácia následných krokov na vrstvu SAM (Security Account Manager) bola zahrnutá pre Windows Server 2016 aj Windows Server 2019, aby mal systém minimálnu dĺžku hesla väčšiu ako 14 znakov.

Nastavenie politiky MinimumPasswordLength má povolený rozsah od 0 do 14 na veľmi dlhý čas (mnoho desať rokov) na všetkých platformách Microsoft. Toto nastavenie sa vzťahuje na lokálne Windows zabezpečenia aj na domény služby Active Directory (a NT4). Hodnota nula (0) znamená, že pre žiadne konto sa nevyžaduje heslo.

V starších verziách Windows používateľské rozhranie skupinovej politiky nepovoľuje nastavenie minimálnej požadovanej dĺžky hesla dlhšie ako 14 znakov. V apríli 2018 sme však vydali aktualizácie balíka Windows 10, ktoré v používateľskom rozhraní skupinovej politiky pridali podporu pre viac ako 14 znakov v rámci aktualizácií, ako sú napríklad:

• Článok vedomostnej databázy Knowledge Base 4093120:17. apríla 2018 – KB4093120 (zostava OS 14393.2214)

Súčasťou tejto aktualizácie bol aj nasledujúci text poznámky k vydaniu:

"Zvýši minimálnu dĺžku hesla v skupinovej politike na 20 znakov."

Niektorí zákazníci, ktorí si nainštalovali vydania z apríla 2018 a nahrádzali aktualizácie, zistili, že stále nemôžu používať viac ako 14-znakové heslá. Prieskum identifikoval, že v počítačoch s rolou DC je potrebné nainštalovať ďalšie aktualizácie, ktoré budú údržby pre viac ako 14-znakové heslá definované v politike hesiel. Nasledujúce aktualizácie povolili Windows Server 2016, Windows 10, verziu 1607 a počiatočné vydanie ovládačov domény pre prihlasovanie do služieb Windows 10 požiadavky na overovanie s viac ako 14-znakovým heslom:

• Článok vedomostnej databázy Knowledge Base 4467684:27. novembra 2018 – KB4467684 (zostava OS 14393.2639)

Súčasťou tejto aktualizácie bol aj nasledujúci text poznámky k vydaniu:

"Rieši problém, ktorý bráni radičom domén používať politiku skupinovej politiky hesiel, keď je minimálna dĺžka hesla nakonfigurovaná tak, aby bola väčšia ako 14 znakov."

• ČLÁNOK VEDOMOSTNEJ DATABÁZY KNOWLEDGE BASE 4471327:11. december 2018 – KB4471321 (zostava OS 14393.2665)

Niektorí zákazníci definovali v politike viac ako 14-znakové heslá po inštalácii aktualizácií z apríla 2018 do aktualizácií z októbra 2018, ktoré v podstate ostali neaktívne až do aktualizácií z novembra 2018 a decembra 2018 alebo do natívnych ovládačov domén s podporou operačného systému, aby v politike obsiazali viac ako 14-znakové heslá, čím sa odstráni prepojenie medzi zapnutím funkcií a aplikáciou politiky. Bez ohľadu na to, či ste súčasne nainštalovali aktualizácie skupinovej politiky a radiča domény, môžu sa zobraziť nasledujúce vedľajšie efekty:

• Vyriešené problémy s aplikáciami, ktoré sú momentálne nekompatibilné s heslami väčšími ako 14 znakov.

• Problémy so odhalením, keď domény pozostávajú z kombinácie verzie Windows Servera 2019 alebo aktualizovaných 2016 DCs, ktoré podporujú viac ako 14-znakové heslá, a viac než Windows Server 2016, ktoré podporujú viac než 14-znakové heslá (kým nebudú k dispozícii porty portov portov Windows Server 2016).

• Po inštalácii aktualizácie KB4467684môže zlyhať spustenie skupinovej služby s chybou 2245 (NERR_PasswordTooShort), ak je skupinová politika Minimálna dĺžka hesla nakonfigurovaná tak, aby bola väčšia ako 14 znakov.

  Pokyny k tomuto známemu problému boli pri nastavení predvolenej politiky "Minimálna dĺžka hesla" na hodnotu menšiu alebo rovnú 14 znakom. Pracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.

Z dôvodu starších problémov bola v aktualizáciách na január 2019 odstránená podpora pre strany DC pre viac ako 14 znakov, takže túto funkciu nie je možné použiť.