Povzetek
Windows 10 posodobitve, izdane 18. avgusta 2020, dodajo podporo za te:
-
Nadzor dogodkov, da ugotovite, ali programi in storitve podpirajo 15-znakovna ali daljša gesla.
-
Uveljavljanje najmanjših dolžin gesel, ki so 15 znakov ali več v strežniku Windows Server, različica 2004 krmilnikov domen (DCs).
Podprte različice Windows
Nadzor dolžin gesel je podprt v teh različicah Windows. Uveljavljanje najmanjših dolžin gesel, ki je dolgo 15 znakov ali več, je podprto v strežniku Windows Server, različici 2004 in novejših različicah Windows.
|
Različica sistema Windows |
KB |
Podpora |
|
Windows 10, različica 2004 |
Vključeno v izdano različico |
Uveljavljanje |
|
Windows 10, različica 1909 |
Nadzor |
|
|
Windows 10, različica 1903 |
Nadzor |
|
|
Windows 10, različica 1809 |
Nadzor |
|
|
Windows 10, različica 1607 |
Nadzor |
Predlagana uvedba
|
Krmilniki domen |
Skrbniške delovne postaje |
|
|
Nadzor: Če le nadzor uporabe gesel pod najmanjšo vrednostjo, uvedi tako. |
Uvedi posodobitve za vse podprte DCs-je, kjer je nadzor želen. |
Uvedi posodobitve za podprte skrbniške delovne postaje za nove nastavitve pravilnika skupine. S temi delovnimi postajami lahko uvedete posodobljene pravilnike skupine. |
|
Uveljavljanje: Če želite najnižjo dolžino gesla, jo uvedi tako. |
Windows Strežnik, različica 2004 DCs. Vsi DCs morajo biti na voljo v tej ali novejši različici. Dodatne posodobitve niso potrebne. |
Uporabite Windows 10, različica 2004. V tej različici so vključene nove nastavitve pravilnika skupine za uveljavljanje. S temi delovnimi postajami lahko uvedete posodobljene pravilnike skupine. |
Navodila za uvedbo
Če želite dodati podporo za nadzor in uveljavljanje najmanjše dolžine gesla, upoštevajte te korake:
-
Uvedi posodobitev v vseh podprtih Windows v vseh krmilnikih domene.
-
Krmilnik domene: Posodobitve in novejše posodobitve omogočajo podporo za vse DCs-je, da preverijo pristnost računov uporabnikov ali storitev, ki so konfigurirani za uporabo več kot 14-znakovnih gesel.
-
Administrativna delovna postaja: Uvedi posodobitve za skrbniške delovne postaje, da omogočite uporabo novih nastavitev pravilnika skupine za DCs.
-
-
Omogočite nastavitev pravilnika skupine MinimumPasswordLengthAudit v domeni ali gozdu, kjer so želena daljša zahtevana gesla. Ta nastavitev pravilnika mora biti omogočena v privzetem pravilniku krmilnika domene, ki je povezan z enoto OU (kontrolniki domene).
-
Priporočamo, da pravilnik nadzora onemogočite za tri do šest mesecev, da zaznate vso programsko opremo, ki ne podpira gesel, večjih od 14 znakov.
-
Nadzirajte domene za dogodke DIRECTORY-Services-SAM 16978, ki so zabeleženi v dnevnik s programsko opremo, ki upravlja gesla za tri do šest mesecev. Dogodkov Directory-Services-SAM 16978, ki so zabeleženi v dnevnik, vam ni treba nadzirati v uporabniških računih.
-
Če je mogoče, konfigurirajte programsko opremo tako, da bo daljša za geslo.
-
Obrnite se na dobavitelja programske opreme in posodobite programsko opremo tako, da bo delovala z daljšimi gesli.
-
Za ta račun uvedi pravilnik za natančno geslo tako, da uporabite vrednost, ki se ujema z dolžino gesla, ki jo uporablja programska oprema.
-
Za programsko opremo, ki upravlja gesla za račun, vendar ne uporablja samodejno dolgih gesel in jih ni mogoče konfigurirati za uporabo dolgih gesel, lahko za te račune uporabite pravilnik za gesla s drobno gesli.
-
-
Ko so obravnavani vsi dogodki DIRECTORY-Services-SAM 16978, omogočite minimalno geslo. To naredite tako:
-
Uvedi različico strežnika Windows Server, ki podpira uveljavljanje v vseh DCS-jih (vključno z Read-Only računalnike).
-
Omogočite pravilnik skupine »RelaxMinimumPasswordLengthLimits« za vse DCs-je.
-
Konfigurirajte pravilnik skupine MinimumPasswordLength za vse DCs.
-
Pravilnik skupine
|
Pot pravilnika in ime nastavitve, podprte različice |
Opis |
|
Pot pravilnika: Konfiguracija računalnika > Windows Nastavitve > Pravilniki Nastavitve > računa – > za gesla – > Ime nastavitve nastavitve najmanjše Podprto v:
Vnovični zagon ni potreben |
Nadzor najmanjše dolžine gesla Ta varnostna nastavitev določa najmanjšo dolžino gesla, za katerega se izdajajo dogodki opozorila o dolžini gesla. To nastavitev lahko konfigurirate od 1 do 128. To nastavitev omogočite in konfigurirajte le, ko poskušate določiti potencialni učinek povečanja najmanjše dolžine gesla v okolju. Če ta nastavitev ni določena, dogodki nadzora ne bodo izdani. Če je ta nastavitev določena in je manjša ali enaka nastavitvi najmanjše dolžine gesla, dogodki nadzora ne bodo izdani. Če je ta nastavitev določena in je večja od najmanjše nastavitve dolžine gesla in je dolžina novega gesla računa manjša od te nastavitve, bo izdan dogodek nadzora. |
|
Pot pravilnika in ime nastavitve, podprte različice |
Opis |
|
Pot pravilnika: Konfiguracija računalnika > Windows Nastavitve > Pravilniki Nastavitve > računa – pravilnik za gesla – > > Sprostite omejitve dolžine gesla Ime Podprto v:
Vnovični zagon ni potreben |
Sprostite podedovane omejitve za minimalno dolžino gesla S to nastavitvijo nadzorujete, ali je mogoče nastavitev najmanjše dolžine gesla povečati nad podedovano omejitev 14. Če ta nastavitev ni določena, je najmanjša dolžina gesla morda konfigurirana na največ 14. Če je ta nastavitev določena in onemogočena, je najmanjša dolžina gesla morda konfigurirana na največ 14. Če je ta nastavitev določena in omogočena, je najmanjša dolžina gesla lahko konfigurirana več kot 14. Če želite več informacij, glejte https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Pot pravilnika in ime nastavitve, podprte različice |
Opis |
|
Pot pravilnika: Konfiguracija računalnika > Windows Nastavitve > Pravilniki Nastavitve > računa – > za gesla – > Minimalna dolžina gesla Podprto v:
Vnovični zagon ni potreben |
Ta varnostna nastavitev določa najmanj število znakov, ki jih lahko vsebuje geslo za uporabniški račun. Največja vrednost za to nastavitev je odvisna od vrednosti nastavitve »Sprostite omejitve za najmanjšo dolžino gesla«. Če nastavitev »Sprosti najmanjše omejitve dolžine gesla« ni določena, je ta nastavitev morda konfigurirana od 0 do 14. Če je nastavitev Sprostite omejitve za najmanjšo dolžino gesla določena in onemogočena, je ta nastavitev lahko konfigurirana od 0 do 14. Če so določene in omogočene omejitve za najmanjšo dolžino gesla za sprostitev, je ta nastavitev lahko konfigurirana od 0 do 128. Če zahtevano število znakov nastavite na 0, to pomeni, da geslo ni potrebno. Opomba Računalniki člana privzeto sledijo konfiguraciji krmilnikov domene. Privzete vrednosti:
Če konfigurirate to nastavitev, večjo od 14, lahko to vpliva na združljivost z odjemalci, storitvami in programi. Priporočamo, da to nastavitev konfigurirate le, če je ta nastavitev večja od 14, potem ko ste z nastavitvijo nadzora najmanjše dolžine gesla preskusili morebitne nezdružljivosti pri novi nastavitvi. |
Windows sporočil dnevnika dogodkov
V to dodatno podporo so vključena tri nova sporočila dnevnika ID-ja dogodka.
ID dogodka 16977
ID dogodka 16977 bo zabeležen, ko bodo nastavitve pravilnika MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsali MinimumPasswordLengthAudit najprej konfigurirane ali spremenjene v pravilniku skupine. Ta dogodek bo samo prijavljen v računalnike s sistemom Windows. Vrednost RelaxMinimumPasswordLengthLimits bo zabeležena le v računalnikih s sistemom Windows Server, različica 2004 in novejša različica DCs.
|
Dnevnik dogodkov |
Sistem |
|
Vir dogodka |
Directory-Services-SAM |
|
ID dogodka |
16977 |
|
Raven |
Information |
|
Besedilo sporočila dogodka |
Domeno konfigurirate tako, da uporabite te nastavitve, povezane z najmanjšo dolžino gesla. MinimumPasswordLength: Če želite več informacij, glejte https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID dogodka 16978
ID dogodka 16978 bo zabeležen, ko spremenite geslo računa in je geslo krajše od trenutne nastavitve MinimumPasswordLengthAudit.
|
Dnevnik dogodkov |
Sistem |
|
Vir dogodka |
Directory-Services-SAM |
|
ID dogodka |
16978 |
|
Raven |
Information |
|
Besedilo sporočila dogodka |
Ta račun je konfiguriran za uporabo gesla, katerega dolžina je krajša od trenutne nastavitve MinimumPasswordLengthAudit. Ime računa: Če želite več informacij, glejte https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID dogodka 16979 Enforcement
ID dogodka 16979 bo zabeležen, ko bodo nastavitve pravilnika skupine nadzora napačno konfigurirane. Ta dogodek bo samo prijavljen v računalnike s sistemom Windows. Vrednost RelaxMinimumPasswordLengthLimits bo zabeležena le v Windows Server, različica 2004 in novejša različica DCs. To je v skladu z uveljavljanjem.
|
Dnevnik dogodkov |
Sistem |
|
Vir dogodka |
Directory-Services-SAM |
|
ID dogodka |
16979 |
|
Raven |
Napaka |
|
Besedilo sporočila dogodka |
Domena je nepravilno konfigurirana z nastavitvijo MinimumPasswordLength, ki je večja od 14, medtem ko je »RelaxMinimumPasswordLengthLimits« nedoločena ali onemogočena.
Opomba Dokler to ne bo popravljeno, bo domena vsiljena manjša nastavitev MinimumPasswordLength, ki bo 14. Če želite več informacij, glejte https://go.microsoft.com/fwlink/?LinkId=2097191. |
Nadzor ID dogodka 16979
ID dogodka 16979 bo zabeležen, ko bodo nastavitve pravilnika skupine nadzora napačno konfigurirane. Ta dogodek bo samo prijavljen v računalnike s sistemom Windows. Za nadzor je vključeno novo sporočilo dnevnika dogodkov kot del te dodane podpore.
|
Dnevnik dogodkov |
Sistem |
|
Vir dogodka |
Directory-Services-SAM |
|
ID dogodka |
16979 |
|
Raven |
Napaka |
|
Besedilo sporočila dogodka |
Domena ni pravilno konfigurirana z nastavitvijo MinimumPasswordLength, ki je večja od 14. Opomba Dokler to ne bo popravljeno, bo domena vsiljena manjša nastavitev MinimumPasswordLength, ki je 14. Trenutno konfigurirana vrednost MinimumPasswordLength: Če želite več informacij, glejte https://go.microsoft.com/fwlink/?LinkId=2097191. |
Navodila za spreminjanje gesla programske opreme
Pri nastavljanju gesla v programski opremi uporabite največjo dolžino gesla.
Zgodovina
Čeprav je splošna Microsoftova varnostna strategija močno osredotočena na prihodnost, ki ne bo več namenjena geslu, številnih strank ni mogoče preseliti iz gesel za kratko-srednjo obdobje. Nekatere stranke, ki si želijo prisluhnete varnosti, želijo konfigurirati privzeto nastavitev najmanjše dolžine gesla za domeno, ki je večja od 14 znakov (stranke lahko na primer uporabijo daljše geslo namesto tradicionalnih kratkih gesel za en žeton). V podporo tej zahtevi je posodobitev sistema Windows v aprilu 2018 za Windows Server 2016 omogočila spremembo pravilnika skupine, zaradi katere je bila najmanjša dolžina gesla s 14 na 20 znakov. Čeprav se je ta sprememba pojavila v podpori za daljše geslo, je bila ta na koncu nezadostna in je zavrnila novo vrednost, ko je bil uporabljen pravilnik skupine. Te zavrnitve so bile tihe in zahtevane so bile podrobne zahteve za preskušanje, s katerih je mogoče ugotoviti, da sistem ne podpira daljših gesel. Na voljo je posodobitev plasti SAM (Security Account Manager) za strežnik Windows Server 2016 in Windows Server 2019, s tem pa je omogočen sistem za pravilno delovanje od konca do konca, pri čemer je minimalna dolžina gesla večja od 14 znakov. Na voljo je posodobitev plasti SAM (Security Account Manager) za strežnik Windows Server 2016 in Windows Server 2019, s tem pa je omogočen sistem za pravilno delovanje od konca do konca, pri čemer je minimalna dolžina gesla večja od 14 znakov.
Nastavitev pravilnika MinimumPasswordLength ima dovoljen obseg od 0 do 14 že zelo dolgo (mnogo želetja) v vseh Microsoftovih platformah. Ta nastavitev velja tako za lokalne varnostne Windows kot tudi za domene Active Directory (in domene NT4 pred tem). Vrednost nič (0) pomeni, da za noben račun ni zahtevano geslo.
V starejših različicah Windows UI pravilnika skupine ni omogočil nastavitve najmanjših zahtevanih dolžin gesel, ki so daljše od 14 znakov. Aprila 2018 smo izdali posodobitve za Windows 10, ki so v uporabniškem vmesniku pravilnika skupine dodali podporo za več kot 14 znakov kot del posodobitev, kot so:
-
KB 4093120:17. april 2018 – KB4093120 (gradec operacijskega sistema 14393.2214)
Ta posodobitev je vključevala to besedilo opombe ob izdaji:
»Poveča najmanjšo dolžino gesla v pravilniku skupine na 20 znakov.«
Nekateri uporabniki, ki so namestili izdaje iz aprila 2018 in nadomeščali posodobitve, so ugotovili, da še vedno ne smejo uporabljati več kot 14-znakovnih gesel. Raziskovanje je identificirano, da je treba v računalnike z vlogami v DC namestiti dodatne posodobitve, ki servisiranje več kot 14-znakovnih gesel, določenih v pravilniku o geslih. Te posodobitve so omogočene za Windows Server 2016, Windows 10, različica 1607 in začetna izdaja kontrolnikov domene Windows 10 za prijavo storitve in zahteve za preverjanje pristnosti z več kot 14-znakovnim geslom:
-
KB 4467684:27. november 2018 – KB4467684 (gradec operacijskega sistema 14393.2639)
Ta posodobitev je vključevala to besedilo opombe ob izdaji:
»Odpravi težavo, ki prepreči krmilnikom domen uporabo pravilnika za gesla pravilnika skupine, če je najmanjša dolžina gesla konfigurirana tako, da je večja od 14 znakov.«
-
KB 4471327:11. december 2018 – KB4471321 (gradec operacijskega sistema 14393.2665)
Nekateri uporabniki so določili več kot 14-znakovno geslo po namestitvi posodobitev iz aprila 2018 do oktobra 2018, kar je v bistvu še vedno neaktivno do posodobitve iz novembra 2018 in decembra 2018 ali izvornega operacijskega sistema, za katerega so bili omogočeni kontrolniki domen, za storitve, večje od 14-znakovnih gesel v pravilniku, s čimer so odstranili povezavo čas/kraje med aplikacijo za omogočanje funkcij in aplikacijo pravilnika. Ne glede na to, ali ste namestili pravilnik skupine in kontrolnik domene se posodabljata hkrati ali ne, se lahko pojavijo ti stranski učinki:
-
Izpostavljene težave s programi, ki trenutno niso združljive z več kot 14-kratno gesli.
-
Izpostavljene težave, ko so domene sestavljene iz mešati izdajne različice strežnika Windows Server 2019 ali posodobljenih računalnikov 2016, ki podpirajo več kot 14-znakovna gesla in predpomnjene različice strežnika Windows Server 2016, ki ne podpirajo več kot 14-znakovnih gesel (dokler ni podprto podprto podporo za Windows Server 2016).
-
Po namestitvi posodobitve KB4467684se storitev gruče morda ne bo začela z napako »2245 (NERR_PasswordTooShort)«, če je pravilnik skupine »Najmanjša dolžina gesla« konfiguriran z več kot 14 znaki.
Navodila za to znano težavo so bila, da je privzeti pravilnik domene »Najmanjša dolžina gesla« nastavljen na manj kot 14 znakov ali enako 14 znakov. Pripravljamo rešitev in bomo ponudili posodobitev v prihodnji izdaji.
Zaradi prejšnjih težav je bila v posodobitvah iz januarja 2019 odstranjena podpora na strani DC za več kot 14-kratna gesla, tako da te funkcije ni mogoče uporabljati.
