- 11/27/2017
- 5 minut číst
Platí Pro: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Tento bezpečnostní politiku, referenční téma pro JE profesionální popisuje osvědčené postupy, umístění, hodnoty a důležité informace o zabezpečení pro toto nastavení zásad.,
Odkaz
Hesla musí splňovat požadavky na složitost nastavení zásad určuje, zda hesla musí splňovat řadu pokynů, které jsou považovány za důležité pro silné heslo. Povolení tohoto nastavení zásad vyžaduje hesel splňovat tyto požadavky:
-
Hesla nemusí obsahovat uživatele samAccountName (Název Účtu) hodnota nebo celý displayName (celé Jméno, hodnota). Obě kontroly nejsou citlivé na malá a velká písmena.
název samAccountName se kontroluje v plném rozsahu, pouze aby se zjistilo, zda je součástí hesla., Pokud je název samAccountName menší než tři znaky, tato kontrola se přeskočí.
zobrazené jméno je analyzováno pro oddělovače: čárky, periody, pomlčky nebo pomlčky, podtržítka, mezery, značky libry a karty. Pokud je některý z těchto oddělovačů nalezen, displayName je rozdělen a všechny analyzované sekce (tokeny) jsou potvrzeny, že nejsou zahrnuty do hesla. Tokeny, které jsou menší než tři znaky, jsou ignorovány a substráty tokenů nejsou kontrolovány. Například název “ Erin m. Hagens „je rozdělen na tři žetony:“ Erin“,“ M „a“Hagens“., Protože druhý token je dlouhý pouze jeden znak, je ignorován. Proto tento uživatel nemohl mít heslo, které zahrnovalo buď“ erin „nebo“ hagens “ jako podřetězec kdekoli v hesle.,
-
heslo obsahuje znaky ze tří následujících kategorií:
-
Velká písmena Evropských jazyků (A až Z, včetně diakritiky značkami, řečtina a Cyrilice znaky)
-
Malá písmena Evropských jazyků (a až z, ostré-s, s diakritiky značkami, řečtina a Cyrilice znaky)
-
o Základu 10 číslic (0 až 9)
-
Nealfanumerické znaky: ~!@#$%^&*_-+=`|(){}:;“‚<>.?,/
-
jakýkoli znak Unicode, který je kategorizován jako abecední znak, ale není velkými nebo malými písmeny. To zahrnuje znaky Unicode z asijských jazyků.
-
Požadavky na složitost jsou vynuceny při změně nebo vytvoření hesla.
pravidla, která jsou součástí požadavků na složitost hesla systému Windows Server, jsou součástí Passfilt.dll, a nemohou být přímo upraveny.
povolení výchozího Passfiltu.,dll může způsobit další volání Help Desk pro uzamčené účty, protože uživatelé nemusí být zvyklí mít hesla, která obsahují jiné znaky než ty, které se nacházejí v abecedě. Toto nastavení politiky je však natolik liberální, že všichni uživatelé by měli být schopni dodržovat požadavky s malou křivkou učení.
Další nastavení, které lze zahrnout do vlastního Passfiltu.dll jsou použití znaků bez horního řádku. Znaky horního řádku jsou ty, které jsou zadány podržením klávesy SHIFT a zadáním libovolné číslice od 1 do 10.,
toto nastavení zásad je podporováno ve verzích systému Windows, které jsou označeny v seznamu platí pro na začátku tohoto tématu.
Možné hodnoty
-
Povoleno
-
Zakázán
-
Není definováno.
Nejlepší praktiky
Nastavit Hesla musí splňovat požadavky na složitost Povoleno. Toto nastavení zásad, v kombinaci s minimální délku hesla 8, zajišťuje, že tam jsou alespoň 218,340,105,584,896 různé možnosti pro jediného hesla. To ztěžuje útok hrubou silou, ale stále není nemožné.,
použití kombinací znaků kláves ALT může výrazně zvýšit složitost hesla. Vyžadovat, aby všichni uživatelé v Organizaci dodržovali takové přísné požadavky na heslo, však může mít za následek nešťastné uživatele a extrémně zaneprázdněnou Helpdesk. Zvažte implementaci požadavku ve vaší organizaci používat ALT znaky v rozmezí od 0128 do 0159 jako součást všech hesel správce. (ALT znaky mimo tento rozsah mohou představovat standardní alfanumerické znaky, které nepřidávají další složitost hesla.,)
hesla, která obsahují pouze alfanumerické znaky, lze snadno kompromitovat pomocí veřejně dostupných nástrojů. Aby se tomu zabránilo, hesla by měla obsahovat další znaky a splňovat požadavky na složitost.
Umístění
GPO_name \Konfigurace Počítače\Nastavení systému Windows\Nastavení Zabezpečení\Zásady Účtů\zásady Hesla
Výchozí hodnoty
V následující tabulce jsou uvedeny skutečné a účinné výchozí hodnoty pojistek pro nejnovější podporované verze systému Windows. Výchozí hodnoty jsou také uvedeny na stránce vlastností politiky.,r>
verze Operačního systému rozdíly
nejsou žádné rozdíly v tom, jak toto nastavení zásad práce mezi podporované verze systému Windows.,
bezpečnostní úvahy
tato část popisuje, jak může útočník využít funkci nebo její konfiguraci, jak implementovat protiopatření a možné negativní důsledky implementace protiopatření.
zranitelnost
hesla, která obsahují pouze alfanumerické znaky, lze velmi snadno objevit pomocí několika veřejně dostupných nástrojů.
Protiopatření
Konfigurovat Hesla musí splňovat požadavky na složitost nastavení zásad Povoleno, a radí uživatelům používat různé znaky v jejich hesla.,
v kombinaci s Minimální délku hesla 8, toto nastavení zásad zajišťuje, že počet různé možnosti pro jediného hesla je tak velký, že je obtížné (ale ne nemožné) pro brute force útok uspět. (Pokud se zvýší nastavení Zásady minimální délky hesla, zvyšuje se také průměrná doba potřebná pro úspěšný útok.,)
Potenciální dopad
v Případě, že výchozí heslo složitost konfigurace je zachována, další Help Desk hovorů pro zamčené-out účtů může nastat, protože uživatelé nemusí být zvyklí hesla, které obsahují non-abecední znaky, nebo oni by mohli mít problémy se zadáním hesla, které obsahují znaky s diakritikou nebo symboly na klávesách s různým rozvržení. Všichni uživatelé by však měli být schopni splnit požadavek složitosti s minimálními obtížemi.
pokud má vaše organizace přísnější bezpečnostní požadavky, můžete vytvořit vlastní verzi Passfilt.,dll soubor, který umožňuje použití libovolně složitých pravidel pevnosti hesla. Například vlastní filtr hesel může vyžadovat použití symbolů bez horního řádku. (Symboly horního řádku jsou ty, které vyžadují, abyste stiskli a podrželi klávesu SHIFT a poté stiskněte některou z číslic mezi 1 a 0.) Vlastní filtr hesel může také provést kontrolu slovníku, aby se ověřilo, zda navrhované heslo neobsahuje běžná slovníková slova nebo fragmenty.
použití kombinací znaků kláves ALT může výrazně zvýšit složitost hesla., Takové přísné požadavky na heslo však mohou mít za následek další požadavky na Help Desk. Případně by vaše organizace mohla zvážit požadavek, aby všechna hesla správce používala ALT znaky v rozsahu 0128-0159. (ALT znaky mimo tento rozsah mohou představovat standardní alfanumerické znaky,které by do hesla nepřidaly další složitost.)
Viz také
Zásady hesla