Kiểm tra và thực thi Độ dài Mật khẩu Tối thiểu trên một số phiên bản của Windows

Tóm tắt

Windows 10 phát hành ngày 18 tháng 8 năm 2020 bổ sung hỗ trợ cho các phần sau:

• Audit Events to identify whether applications and services support 15-character or longer passwords.

• Việc thực thi độ dài mật khẩu tối thiểu từ 15 ký tự trở lên trên Windows Chạy hệ điều khiển miền (DC) phiên bản 2004 trên Máy chủ, phiên bản 2004.

Các phiên bản được hỗ trợ của Windows

Việc kiểm tra độ dài mật khẩu được hỗ trợ trên các phiên bản sau của Windows. Việc thực thi độ dài mật khẩu tối thiểu từ 15 ký tự trở lên được hỗ trợ trong Windows Server, phiên bản 2004 và trong các phiên bản mới hơn của Windows.

Triển khai được đề xuất

Hướng dẫn triển khai

Để thêm hỗ trợ cho việc kiểm tra và thực thi Độ dài Mật khẩu Tối thiểu, hãy làm theo các bước sau:

1. Triển khai bản cập nhật trên tất cả các phiên bản được Windows trợ trên tất cả bộ điều khiển miền.

   1. Bộ điều khiển Miền: Các bản cập nhật và cập nhật sau đó, cho phép hỗ trợ trên tất cả các DC để xác thực tài khoản người dùng hoặc dịch vụ được đặt cấu hình để sử dụng mật khẩu lớn hơn 14 ký tự.

   2. Máy trạm quản trị: Triển khai các bản cập nhật cho máy trạm quản trị để cho phép áp dụng thiết đặt Chính sách Nhóm mới cho các DC.

2. Bật cài đặt Chính sách Nhóm Tối thiểuPasswordLengthAudit trên một miền hoặc rừng, trong đó cần sử dụng mật khẩu bắt buộc lâu hơn. Thiết đặt chính sách này phải được bật trong chính sách mặc định của bộ kiểm soát miền được nối kết với đơn vị tổ chức bộ kiểm soát miền (OU).

3. We recommend leaving the auditing policy enabled for three to six months to detect all software that does not support passwords of greater than 14-characters.

4. Giám sát các miền cho các sự kiện Directory-Services-SAM 16978 được ghi nhật ký đối với phần mềm quản lý mật khẩu trong ba đến sáu tháng. Bạn không phải giám sát các sự kiện Directory-Services-SAM 16978 được ghi nhật ký vào tài khoản người dùng.

   1. Nếu có thể, hãy cấu hình phần mềm để sử dụng độ dài mật khẩu dài hơn.

   2. Làm việc với nhà cung cấp phần mềm để cập nhật phần mềm để sử dụng mật khẩu dài hơn.

   3. Triển khai chính sách mật khẩu chi tiết cho tài khoản này bằng cách sử dụng một giá trị khớp với độ dài mật khẩu mà phần mềm sử dụng.

   4. Đối với phần mềm quản lý mật khẩu tài khoản nhưng không tự động sử dụng mật khẩu dài và không thể được đặt cấu hình để sử dụng mật khẩu dài, bạn có thể sử dụng chính sách mật khẩu chi tiết cho các tài khoản này.

5. Sau khi tất cả các sự kiện Directory-Services-SAM 16978 được giải quyết, hãy bật một mật khẩu tối thiểu. Để thực hiện điều này, hãy làm theo các bước sau:

   1. Triển khai một phiên bản máy Windows Server hỗ trợ thực thi trên tất cả các DC (bao Read-Only DC).

   2. Bật Chính sách Nhóm RelaxMinimumPasswordLengthLimits trên tất cả các DCs.

   3. Đặt cấu hình Chính sách Nhóm MinimumPasswordLength trên tất cả các DC.

Chính sách Nhóm

Windows nhật ký sự kiện

Ba thông báo nhật ký ID Sự kiện mới sẽ được bao gồm như một phần của hỗ trợ bổ sung này.

Hướng dẫn thay đổi mật khẩu phần mềm

Sử dụng độ dài mật khẩu tối đa khi đặt mật khẩu trong phần mềm.

Lịch sử

Mặc dù chiến lược bảo mật Tổng thể của Microsoft được tập trung vững chắc vào việc không nhập mật khẩu trong tương lai, nhiều khách hàng không thể di chuyển ra khỏi mật khẩu cho thuật ngữ ngắn sang trung bình. Một số khách hàng tin cậy về bảo mật muốn có thể cấu hình thiết đặt độ dài mật khẩu tối thiểu của miền mặc định lớn hơn 14 ký tự (ví dụ, khách hàng có thể thực hiện điều này sau khi hướng dẫn người dùng của họ sử dụng mật khẩu dài hơn thay vì mật khẩu mã thông báo đơn ngắn truyền thống). Để hỗ trợ yêu cầu này, Các bản cập nhật Windows vào Tháng Tư 2018 cho Windows Server 2016 đã cho phép thay đổi Chính sách Nhóm giúp tăng độ dài mật khẩu tối thiểu từ 14 đến 20 ký tự. Mặc dù thay đổi này có vẻ như hỗ trợ mật khẩu dài hơn nhưng cuối cùng đã không đủ và bị từ chối giá trị mới khi Áp dụng Chính sách Nhóm. Những từ chối này im lặng và cần phải kiểm tra chi tiết để xác định rằng hệ thống không hỗ trợ mật khẩu dài hơn. Bao gồm một bản cập nhật tiếp theo cho lớp Trình quản lý Tài khoản Bảo mật (SAM) cho cả Windows Server 2016 và Windows Server 2019 để cho phép hệ thống hoạt động chính xác đầu cuối với độ dài mật khẩu tối thiểu lớn hơn 14 ký tự. Bao gồm một bản cập nhật tiếp theo cho lớp Trình quản lý Tài khoản Bảo mật (SAM) cho cả Windows Server 2016 và Windows Server 2019 để cho phép hệ thống hoạt động chính xác đầu cuối với độ dài mật khẩu tối thiểu lớn hơn 14 ký tự.

Cài đặt chính sách MinimumPasswordLength đã có phạm vi cho phép từ 0 đến 14 trong một khoảng thời gian rất dài (nhiều hạn chế) trên tất cả các nền tảng Microsoft. Thiết đặt này áp dụng cho cả thiết Windows mật cục bộ và tên miền Active Directory (và NT4 trước đó). Giá trị không (0) ngụ ý rằng không yêu cầu mật khẩu cho bất kỳ tài khoản nào.

Trong các phiên bản Windows cũ hơn, UI Chính sách Nhóm không cho phép đặt độ dài mật khẩu bắt buộc tối thiểu dài hơn 14 ký tự. Tuy nhiên, vào Tháng Tư 2018, chúng tôi đã phát hành các bản cập nhật Windows 10 bổ sung hỗ trợ cho hơn 14 ký tự trong UI Chính sách Nhóm như là một phần của các bản cập nhật như:

• KB 4093120: 17/04/2018—KB4093120 (Bản dựng HĐH 14393.2214)

Bản cập nhật này bao gồm văn bản ghi chú phát hành sau đây:

"Tăng độ dài mật khẩu tối thiểu trong Chính sách Nhóm thành 20 ký tự."

Một số khách hàng đã cài đặt các bản phát hành Tháng Tư 2018 và thay thế các bản cập nhật, nhận thấy rằng họ vẫn không thể sử dụng những mật khẩu lớn hơn 14 ký tự. Điều tra đã xác định rằng cần cài đặt các bản cập nhật bổ sung trên máy tính vai trò DC cung cấp mật khẩu lớn hơn 14 ký tự được xác định trong chính sách mật khẩu. Các bản cập nhật sau được kích hoạt Windows Server 2016, Windows 10, phiên bản 1607 và bản phát hành ban đầu của bộ kiểm soát miền Windows 10 cho các yêu cầu đăng nhập dịch vụ và yêu cầu xác thực với mật khẩu lớn hơn 14 ký tự:

• KB 4467684: 27/11/2018—KB4467684 (Bản dựng HĐH 14393.2639)

Bản cập nhật này bao gồm văn bản ghi chú phát hành sau đây:

"Địa chỉ một sự cố ngăn bộ kiểm soát miền áp dụng chính sách mật khẩu Chính sách Nhóm khi độ dài mật khẩu tối thiểu được cấu hình lớn hơn 14 ký tự.".

• KB 4471327: 11/12/2018—KB4471321 (Bản dựng HĐH 14393.2665)

Một số khách hàng đã xác định mật khẩu lớn hơn 14 ký tự trong chính sách sau khi cài đặt các bản cập nhật Tháng Tư 2018 đến Tháng Mười 2018, về cơ bản vẫn được duy trì trạng thái không hoạt động cho đến Tháng Mười Một 2018 và Tháng Mười Hai 2018 hoặc bộ điều khiển miền được hỗ trợ HĐH gốc để dịch vụ mật khẩu lớn hơn 14 ký tự trong chính sách, do đó loại bỏ liên kết thời gian / sự cố giữa ứng dụng chính sách và bật tính năng. Dù bạn đã cài đặt cập nhật Chính sách Nhóm và bộ kiểm soát miền cùng lúc hay chưa, bạn có thể gặp những hiệu ứng bên sau:

• Sự cố hiện gặp với các ứng dụng hiện không tương thích với mật khẩu lớn hơn 14 ký tự.

• Sự cố xảy ra khi miền bao gồm kết hợp phiên bản phát hành của Windows Server 2019 hoặc DCs bản cập nhật 2016 hỗ trợ mật khẩu lớn hơn 14 ký tự và DC Windows Server 2016 trước không hỗ trợ mật khẩu lớn hơn 14 ký tự (cho đến khi tồn tại báo cáo ngược và được cài đặt cho Windows Server 2016).

• Sau khi cài đặt KB4467684,dịch vụ cụm có thể không khởi động được với lỗi "2245 (NERR_PasswordTooShort)" nếu Chính sách nhóm "Độ dài mật khẩu tối thiểu" được cấu hình với hơn 14 ký tự.

  Hướng dẫn cho sự cố đã biết này là đặt chính sách "Độ dài mật khẩu Tối thiểu" mặc định là nhỏ hơn hoặc bằng 14 ký tự. Chúng tôi đang tìm giải pháp và sẽ cung cấp bản cập nhật trong một bản phát hành sắp tới.

Do các sự cố trước đó, phía DC hỗ trợ mật khẩu lớn hơn 14 ký tự đã bị loại bỏ trong các bản cập nhật Tháng Một 2019 để không sử dụng được tính năng này.