Welcome to Our Website

Password skal opfylde kompleksitet krav

  • 11/27/2017
  • 5 minutter på at læse

er gældende For: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Denne sikkerhedspolitik reference emne for de IT-professionelle beskriver den bedste praksis, beliggenhed, værdier og sikkerhedsmæssige overvejelser for denne politikindstilling.,

Reference

adgangskoderne skal opfylde kompleksitetskrav politikindstilling bestemmer, om adgangskoder skal opfylde en række retningslinjer, der anses for vigtige for en stærk adgangskode. Aktivering af denne politikindstilling kræver, at adgangskoder opfylder følgende krav:

  1. adgangskoder indeholder muligvis ikke brugerens samAccountName-værdi (kontonavn) eller hele displayName (fuld Navneværdi). Begge kontroller er ikke store og små bogstaver.

    samAccountName kontrolleres kun i sin helhed for at afgøre, om det er en del af adgangskoden., Hvis samAccountName er mindre end tre tegn langt, springes denne check over.

    displaynavnet analyseres for afgrænsere: kommaer, perioder, bindestreger eller bindestreger, understregninger, mellemrum, pundskilte og faner. Hvis nogen af disse afgrænsere findes, er displaynavnet delt, og alle parsede sektioner (tokens) bekræftes for ikke at være inkluderet i adgangskoden. Tokens, der er mindre end tre tegn, ignoreres, og substrings af tokens er ikke markeret. For eksempel er navnet “Erin M. Hagens” opdelt i tre tokens: “Erin”, “M” og “Hagens”., Fordi det andet token kun er et tegn langt, ignoreres det. Derfor kunne denne bruger ikke have en adgangskode, der inkluderede enten “erin” eller “hagens” som en substring hvor som helst i adgangskoden.,

  2. Den adgangskode, der indeholder tegn fra tre af de følgende kategorier:

    • Store bogstaver i Europæiske sprog (A til Z, med diacritic mærker, græske og Kyrilliske tegn)

    • Små bogstaver i Europæiske sprog (a til z, skarpe-s, med diacritic mærker, græske og Kyrilliske tegn)

    • Base 10 cifre (0 til 9)

    • ikke-alfanumeriske tegn: ~!@#$%^&*_-+=`|(){}:;”‘<>.?,/

    • ethvert Unicode-tegn, der er kategoriseret som et alfabetisk tegn, men ikke er store eller små bogstaver. Dette omfatter Unicode-tegn fra asiatiske sprog.

Kompleksitetskrav håndhæves, når adgangskoder ændres eller oprettes.

reglerne, der er inkluderet i passwordindo .s Server pass .ord kompleksitet krav er en del af Passfilt.dll, og de kan ikke ændres direkte.

aktivering af standard Passfilt.,dll kan forårsage nogle ekstra helpdesk-opkald til låste konti, fordi brugere måske ikke er vant til at have adgangskoder, der indeholder andre tegn end dem, der findes i alfabetet. Denne politikindstilling er imidlertid liberal nok til, at alle brugere skal være i stand til at overholde kravene med en mindre indlæringskurve.

yderligere indstillinger, der kan indgå i en brugerdefineret Passfilt.dll er brugen af ikke-Øverste række tegn. Øverste række tegn er dem, der indtastes ved at holde SHIFT-tasten nede og skrive et af cifrene fra 1 til 10.,

denne politikindstilling understøttes på versioner af Windowsindo .s, der er angivet i apply To list i begyndelsen af dette emne.

Mulige værdier

  • Aktiveret

  • Deaktiveret

  • Ikke angivet

Bedste praksis

Indstille Adgangskoder, skal opfylde de komplicerede krav til Aktiveret. Denne politikindstilling, kombineret med en minimumslængde på 8, sikrer, at der er mindst 218,340,105,584,896 forskellige muligheder for en enkelt adgangskode. Dette gør et brute force-angreb vanskeligt, men stadig ikke umuligt.,

brugen af ALT-tastekombinationer kan i høj grad forbedre kompleksiteten af en adgangskode. Imidlertid kan det at kræve, at alle brugere i en organisation overholder sådanne strenge adgangskodekrav, resultere i ulykkelige brugere og en ekstremt travl helpdesk. Overvej at implementere et krav i din organisation for at bruge ALT-tegn i området fra 0128 til 0159 som en del af alle administratoradgangskoder. (ALT-tegn uden for dette område kan repræsentere standard alfanumeriske tegn, der ikke tilføjer yderligere kompleksitet til adgangskoden.,adgangskoder, der kun indeholder alfanumeriske tegn, er lette at gå på kompromis ved hjælp af offentligt tilgængelige værktøjer. For at forhindre dette skal adgangskoder indeholde yderligere tegn og opfylde krav til kompleksitet.

Placering

GPO_name \computerkonfiguration\Windows-Indstillinger\Security Settings\Konto Politikker\Password Politik

Default-værdier

Den følgende tabel viser de faktiske og effektive standard-politik værdier for den seneste understøttede versioner af Windows. Standardværdier vises også på Politikens ejendomsside.,r>

Default domain controller politik Aktiveret Stand-alone server standard indstillinger Deaktiveret Domain controller effektiv standard indstillinger Aktiveret Medlem server effektiv standard indstillinger Aktiveret Effektiv GPO standard indstillinger på klientcomputere Deaktiveret

Operativsystem version forskelle

Der er ingen forskelle i den måde, hvorpå denne politik indstilling fungerer mellem understøttede versioner af Windows.,

sikkerhedshensyn

dette afsnit beskriver, hvordan en angriber kan udnytte en funktion eller dens konfiguration, hvordan man implementerer modforanstaltningen, og de mulige negative konsekvenser af modforanstaltningsimplementering.

sårbarhed

adgangskoder, der kun indeholder alfanumeriske tegn, er ekstremt lette at opdage med flere offentligt tilgængelige værktøjer.

modforanstaltning

Konfigurer adgangskoder skal opfylde kompleksitet krav politik indstilling til Aktiveret og råde brugerne til at bruge en række tegn i deres adgangskoder.,

når det kombineres med en minimumslængde på 8, sikrer denne politikindstilling, at antallet af forskellige muligheder for en enkelt adgangskode er så stor, at det er vanskeligt (men ikke umuligt) for et brute force-angreb at lykkes. (Hvis indstillingen for minimumslængde for adgangskode øges, øges den gennemsnitlige tid, der er nødvendig for et vellykket angreb, også.,)

Potentielle indvirkning

Hvis standardadgangskoden kompleksitet konfiguration er bevaret, ekstra helpdesk opkald til spærrede konti kan opstå, fordi brugerne kan ikke være vant til passwords der indeholder ikke-alfabetiske tegn, eller de kan have problemer med indtastning af adgangskoder, som indeholder accenttegn eller symboler på keyboards med forskellige layouts. Alle brugere skal dog være i stand til at overholde kompleksitetskravet med minimal vanskelighed.

Hvis din organisation har strengere sikkerhedskrav, kan du oprette en brugerdefineret version af Passfilt.,dll-fil, der tillader brug af vilkårligt komplekse regler for adgangskodestyrke. For eksempel kan et brugerdefineret adgangskodefilter kræve brug af ikke-Øverste række symboler. (Symboler i øverste række er dem, der kræver, at du trykker på og holder SHIFT-tasten nede, og tryk derefter på et af cifrene mellem 1 og 0.) En brugerdefineret pass .ord filter kan også udføre en ordbog kontrol for at kontrollere, at den foreslåede adgangskode ikke indeholder fælles ordbog ord eller fragmenter.

brugen af ALT-tastekombinationer kan i høj grad forbedre kompleksiteten af en adgangskode., Sådanne strenge adgangskodekrav kan dog resultere i yderligere helpdesk-anmodninger. Alternativt kan din organisation overveje et krav om, at alle administratoradgangskoder skal bruge ALT-tegn i området 0128-0159. (ALT tegn uden for dette område kan repræsentere standard alfanumeriske tegn, der ikke ville tilføje yderligere kompleksitet til adgangskoden.)

Se også

Pass Passwordord Policy

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *