Зведення
Windows 10 оновлень, випущених 18 серпня 2020 р., додає підтримку для таких продуктів:
-
Перевіряти події, щоб визначити, які програми та служби підтримують 15-символьні або довші паролі.
-
Примусовий застосування мінімальної довжини пароля 15-символьних або більше символів на Windows Server, контролери домену версії 2004 (DC).
Підтримувані версії Windows
Перевіряти довжину паролів можна в наведених нижче версіях Windows. У Windows Server, версії 2004 та пізніших версій Windows підтримується забезпечення мінімальної довжини пароля, довжина яких не може сягати 15 Windows.
|
Версія Windows |
KB |
Підтримка |
|
Windows 10 версії 2004 |
Включено до випущеної версії |
Примусовий виконання |
|
Windows 10 версії 1909 |
Аудит |
|
|
Windows 10 версії 1903 |
Аудит |
|
|
Windows 10 версії 1809 |
Аудит |
|
|
Windows 10 версії 1607 |
Аудит |
Рекомендоване розгортання
|
Контролери домену |
Адміністративні робочіstations |
|
|
Аудит. Якщо потрібно лише перевіряти використання паролів нижче мінімального значення, розгорніться, як описано нижче. |
Розгорніть оновлення для всіх підтримуваних DC-файлів, де потрібно перевіряти наявність оновлень. |
Розгортати оновлення підтримуваних адміністративних робочих точок для нових параметрів групової політики. Скористайтеся цими робочими станціями, щоб розгорнути оновлені групові політики. |
|
Примусовий виконання. Якщо потрібно примусити мінімальну довжину пароля, розгорніть його, як показано нижче. |
Windows Server, version 2004 DCs. Усі ПК мають бути в цій або новішій версії. Додаткові оновлення не потрібні. |
Використовуйте Windows 10 версії 2004. У цій версії включено нові параметри групової політики для застосування. Скористайтеся цими робочими станціями, щоб розгорнути оновлені групові політики. |
Рекомендації з розгортання
Щоб додати підтримку аудиту й застосування мінімальної довжини пароля, виконайте такі дії:
-
Розгорніть оновлення для всіх підтримуваних Windows версій на всіх контролерах доменів.
-
Контролер домену. Оновлення та новіші оновлення. Активуйте підтримку для всіх комп'ютерах DC, щоб автентифікувати облікові записи користувачів або служб, які мають більше 14-символьних паролів.
-
Адміністративна робоча група. Розгорніть оновлення для адміністративних робочих установ, щоб дозволити застосування нових параметрів групової політики до пк.
-
-
Увімкніть параметр MinimumPasswordLengthAudit групової політики для домену або лісу, де потрібні довші обов'язкові паролі. Цей параметр політики потрібно ввімкнути в політиці контролера домену за замовчуванням, пов'язаній з організаційним підрозділом контролерів доменів.
-
Ми радимо не виходити з політики аудиту на три–шість місяців, щоб виявити все програмне забезпечення, яке не підтримує паролі, що не підтримуються понад 14 символів.
-
Відстежуйте домени для подій SAM 16978, що заносяться до програмного забезпечення, яке керує паролями на три–шість місяців. Не потрібно відстежувати події 16978 Directory-Services-SAM у облікових записах користувачів.
-
Якщо це можливо, настройте програмне забезпечення на використання довшої довжини пароля.
-
Працюйте з постачальником програмного забезпечення, щоб оновити програмне забезпечення для використання довших паролів.
-
Розгорніміть точну політику паролів для цього облікового запису, використовуючи значення, яке відповідає довжині пароля, використаному програмним забезпеченням.
-
У програмному забезпечення, яке керує паролями облікових записів, але не використовує довгі паролі автоматично, і його не можна налаштувати на використання довгих паролів, для цих облікових записів можна використовувати точну політику паролів.
-
-
Після того як вирішите всі події Directory-Services-SAM 16978, увімкніть мінімальний пароль. Для цього зробіть ось що:
-
Розгорніть версію Windows Server, яка підтримує застосування на всіх ПК (Read-Only ПК).
-
Увімкніть групову політику RelaxMinimumPasswordLengthLimits для всіх DCs.
-
Настройте групову політику MinimumPasswordLength для всіх користувачів.
-
Групова політика
|
Шлях політики та ім'я параметра, підтримувані версії |
Опис |
|
Шлях політики: Ім'я параметра параметра > Windows Настройки > політики безпеки Настройки > облікового запису > –> мінімальна довжина паролів Підтримується:
Перезавантаження не обов'язково |
Мінімальний контроль довжини паролів Цей параметр безпеки визначає мінімальну довжину пароля, для якої видано події перевірки довжини паролів. Цей параметр може бути налаштовано від 1 до 128. Цей параметр слід вмикати й налаштовувати, лише коли ви намагаєтеся визначити потенційний вплив на мінімальну довжину пароля в середовищі. Якщо цей параметр не визначено, події аудиту не видаляться. Якщо цей параметр визначається та менше або дорівнює параметру мінімальної довжини пароля, події аудиту не видаляться. Якщо значення цього параметра визначається та перевищує мінімальну довжину пароля, а довжина нового пароля облікового запису менша за цей параметр, буде видано подію аудиту. |
|
Шлях політики та ім'я параметра, підтримувані версії |
Опис |
|
Шлях політики: Політики щодо конфігурації комп'ютера > Windows Настройки > безпеки Настройки > облікового запису –> політики паролів –> Максимальна довжина пароля– установлення імені Підтримується:
Перезавантаження не обов'язково |
Обмеження на мінімальну довжину паролів Цей параметр визначає, чи можна збільшити мінімальну довжину пароля за межі застарілої версії 14. Якщо цей параметр не визначено, мінімальну довжину пароля може бути настроєно не більше 14. Якщо цей параметр визначено та вимкнуто, мінімальну довжину пароля може бути настроєно не більше 14. Якщо цей параметр визначено та ввімкнуто, мінімальну довжину пароля може бути настроєно більше 14. Докладні відомості див. в https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Шлях політики та ім'я параметра, підтримувані версії |
Опис |
|
Шлях політики: Ім'я параметра > Windows Настройки > "Політика безпеки Настройки > комп'ютера – > політики паролів –> Мінімальна довжина Підтримується:
Перезавантаження не обов'язково |
Цей параметр безпеки визначає найменшу кількість символів, які може містити пароль для облікового запису користувача. Максимальне значення для цього параметра залежить від значення параметра Максимальна довжина пароля для "Розслабитися". Якщо параметр Максимальна довжина пароля не визначено, цей параметр може бути налаштовано від 0 до 14. Якщо параметр Обмежити мінімальну довжину пароля визначається та вимкнуто, цей параметр може бути налаштовано від 0 до 14. Якщо параметр Обмежити мінімальну довжину пароля визначено й увімкнуто, цей параметр може бути налаштовано від 0 до 128. Установлення значення 0 для обов'язкової кількості символів означає, що пароль не потрібен. Нотатка За замовчуванням на комп'ютерах учасників використовується конфігурація контролерів доменів. Значення за промовчанням:
Налаштування цього параметра, більшого за 14, може вплинути на сумісність із клієнтами, службами та програмами. Ми радимо налаштувати цей параметр лише розмір, більший за 14, за допомогою параметра перевірки мінімальної довжини пароля, щоб перевірити потенційні непов'язки в новому параметрі. |
Windows повідомлень журналу подій
До цієї доданої підтримки додаються три нові повідомлення журналу ідентифікаторів подій.
Ідентифікатор події 16977
Подія з ідентифікатором 16977 реєструється в разі початкового налаштування або змінення параметрів політики MinimumPasswordLengthAudit, RelaxMinimumPasswordLengthLimitsабо MinimumPasswordLengthAudit у груповій політиці. Цю подію буде виконано лише під час входу до DC. Значення RelaxMinimumPasswordLengthLimits ввійде лише в систему Windows Server, версії 2004 та новішої версії DCs.
|
Журнал подій |
Система |
|
Джерело події |
Directory-Services-SAM |
|
Ідентифікатор події |
16977 |
|
Рівень |
Відомості |
|
Текст повідомлення про подію |
Домен настроєний за допомогою наведених нижче параметрів, пов'язаних із мінімальною довжиною пароля. MinimumPasswordLength: Докладні відомості див. в https://go.microsoft.com/fwlink/?LinkId=2097191. |
Ідентифікатор події 16978
Ідентифікатор події 16978 реєструється, коли змінюється пароль облікового запису, а пароль коротший за поточний параметр minimumPasswordLengthAudit.
|
Журнал подій |
Система |
|
Джерело події |
Directory-Services-SAM |
|
Ідентифікатор події |
16978 |
|
Рівень |
Відомості |
|
Текст повідомлення про подію |
У наведеному нижче обліковому записі використовується пароль, довжина якого перевищує поточне значення minimumPasswordLengthAudit. AccountName: Докладні відомості див. в https://go.microsoft.com/fwlink/?LinkId=2097191. |
Застосування ідентифікатора події 16979
Ідентифікатор події 16979 реєструється в разі неправильного налаштування параметрів групової політики аудиту. Цю подію буде виконано лише під час входу до DC. Значення RelaxMinimumPasswordLengthLimits ввійтимуть лише в Windows Server, DCs версії 2004 та пізнішої. Це призначено для забезпечення дотримання вимог.
|
Журнал подій |
Система |
|
Джерело події |
Directory-Services-SAM |
|
Ідентифікатор події |
16979 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Домен настроєно неправильно з параметром MinimumPasswordLength, більшим за 14, тоді як RelaxMinimumPasswordLengthLimits невизначений або вимкнуто.
Нотатка Доки домен не буде виправлено, для домену буде застосовано менший параметр MinimumPasswordLength значення 14. Докладні відомості див. в https://go.microsoft.com/fwlink/?LinkId=2097191. |
Ідентифікатор події 16979 Auditing
Ідентифікатор події 16979 реєструється в разі неправильного налаштування параметрів групової політики аудиту. Цю подію буде виконано лише під час входу до DC. У рамках цієї доданої підтримки додається одне нове повідомлення журналу подій для аудиту.
|
Журнал подій |
Система |
|
Джерело події |
Directory-Services-SAM |
|
Ідентифікатор події |
16979 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Домен настроєно неправильно з параметром MinimumPasswordLength, більшим за 14. Нотатка Доки домен не буде виправлено, для домену буде застосовано менший параметр MinimumPasswordLengthзначення 14. Наразі налаштовано значення minimumPasswordLength: Докладні відомості див. в https://go.microsoft.com/fwlink/?LinkId=2097191. |
Указівки щодо змінення пароля програмного забезпечення
Установлення пароля в програмному забезпечення максимальну довжину пароля.
"Журнал".
Хоча загальну стратегію безпеки Корпорації Майкрософт активно зосереджено на майбутніх паролях, багато клієнтів не можуть перенести паролі в короткостроковий період. Деякі клієнти, які знають безпеку, хочуть налаштувати мінімальну довжину пароля за замовчуванням, розмір якого перевищує 14 символів (наприклад, користувачі можуть це зробити, навчивши користувачів використовувати довші паролі замість традиційних коротких однотонних паролів). На підтримку цього запиту в Windows квітень 2018 р. для Windows Server 2016 активовано змінення групової політики, яка збільшила мінімальну довжину пароля від 14 до 20 символів. Хоча ця зміна з'явилася для підтримки довшого пароля, виявилось недостатньо та відхилено нове значення, коли застосовано групову політику. Ці відхилення виявлялись мовленими й вимагали докладного тестування, щоб визначити, що система не підтримує довші паролі. Подальше оновлення до рівня Диспетчера облікових записів безпеки (SAM) включено як для Windows Server 2016, так і для Windows Server 2019, щоб система правильно працювала наприкінці терміну дії, що містить мінімальну довжину пароля, більшу за 14 символів. Подальше оновлення до рівня Диспетчера облікових записів безпеки (SAM) включено як для Windows Server 2016, так і для Windows Server 2019, щоб система правильно працювала наприкінці терміну дії, що містить мінімальну довжину пароля, більшу за 14 символів.
Параметр політики minimumPasswordLength має допустимий діапазон від 0 до 14 протягом дуже тривалого часу (багато десятиліть) на всіх платформах Microsoft. Цей параметр застосовується як до локальних Windows безпеки, так і до доменів Active Directory (і NT4). Значення нуля (0) означає, що для жодного облікового запису не потрібно вказувати пароль.
У попередніх версіях Windows користувача групової політики не ввімкнув параметр мінімальної довжини пароля, довжина яких перевищує 14 символів. Однак у квітні 2018 року ми випустили оновлення Windows 10, які додали підтримку більше 14 символів в інтерфейсі користувача групової політики, як-от:
-
KB 4093120: 17 квітня 2018 р. – KB4093120 (збірка ОС 14393.2214)
Це оновлення включало такий текст нотатки про випуск:
"Збільшує мінімальну довжину пароля в груповій політиці до 20 символів".
Деякі клієнти, які інсталюли випуски за квітень 2018 року та замінили оновлення, виявили, що в них усе ще не можна було використовувати більші 14-символьні паролі. Дослідження визначило, що на комп'ютерах із роллю DC потрібно інсталювати додаткові оновлення, які обслуговують понад 14-символьні паролі, визначені в політиці паролів. Наведені нижче оновлення ввімкнуто для Windows Server 2016, Windows 10, версії 1607 і початкового випуску контролерів домену Windows 10 для входу в службу та запитів на автентифікацію з більш ніж 14-символьними паролями:
-
KB 4467684: 27 листопада 2018 р. – KB4467684 (збірка ОС 14393.2639)
Це оновлення включало такий текст нотатки про випуск:
"Вирішено проблему, яка перешкоджає контролерам домену застосовувати політику паролів групової політики, якщо мінімальна довжина пароля перевищує 14 символів".
-
KB 4471327: 11 грудня 2018 р. – KB4471321 (збірка ОС 14393.2665)
Деякі клієнти, які визначили більше 14-символьних паролів у політиці після інсталяції оновлень за квітень 2018 року по жовтень 2018 року, які, по суті, залишались незмінними до оновлень за листопад 2018 року та грудня 2018 року, або контролери доменів, які підтримують власну ОС, для обслуговування понад 14-символьних паролів у політиці, тому вилучаються посилання на час і порушення між увімкнутим компонентом і програмою політики. Незалежно від того, чи інстальовано ви оновлення групової політики та контролера домену одночасно, можуть відображатися такі побічні ефекти:
-
Проблеми з програмами, несумісними з більш ніж 14-символьними паролями.
-
Виявляються проблеми, коли домени, які складаються з поєднання випуску версії Windows Server 2019 або оновлення 2016, які підтримують понад 14-символьні паролі та попередньо інстальовані для комп'ютерів із попередньою версією Windows Server 2016, які не підтримують понад 14-символьні паролі (доки не існують і не інстальовано для Windows Server 2016).
-
Після інсталяції KB4467684служба кластерів може не починатися з помилки "2245 (NERR_PasswordTooShort)", якщо для групової політики "Мінімальна довжина пароля" настроєно більше 14 символів.
Указівки з цієї відомої проблеми – установити для домену стандартну політику "Мінімальна довжина пароля" менше 14 символів. Ми працюємо над вирішенням цієї проблеми та надамо відповідне оновлення в наступному випуску.
У зв'язаних із попередніми версіями проблем зі службою підтримки в січні 2019 р. підтримку для понад 14-символьних паролів було видалено, тому цю функцію не можна використовувати.
