Welcome to Our Website

Salasana täytyy täyttää monimutkaisia vaatimuksia

  • 11/27/2017
  • 5 minuuttia lukea

Koskee: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 –

Tämä turvallisuuspolitiikan viite aihe IT-ammattilainen kuvataan parhaita käytäntöjä, sijainti, arvot ja turvallisuusnäkökohdat tämän käytäntöasetuksen käyttöön.,

Viite

Salasanat on täytettävä monimutkaisuus vaatimukset politiikan asetus määrittää, onko salasanat on täytettävä tietyt suuntaviivat, joita pidetään tärkeä vahva salasana. Jotta tämän politiikan asetus edellyttää, salasanat täyttävät seuraavat vaatimukset:

  1. Salasanoja ei saa sisältää käyttäjän samAccountName (Tilin Nimi) – arvo tai koko displayName (Koko Nimi-arvo). Molemmat tarkastukset eivät ole tapauskohtaisia.

    samAccountName tarkistetaan kokonaisuudessaan vain sen selvittämiseksi, onko se osa salasanaa., Jos samAccountName on alle kolme merkkiä pitkä, tämä tarkistus ohitetaan.

    displayName jäsennetään varten erottimia: pilkkuja, pisteitä, viivoja tai väliviivoja, alaviivoja, välilyöntejä, punta merkkejä, ja välilehdet. Jos jokin näistä erottimia löytyy, displayName on jaettu ja kaikki jäsentää osien (tokens) on vahvistettu, ei saa sisällyttää salasana. Kuponkia, jotka ovat alle kolme merkkiä, ei oteta huomioon, eikä kuponkien alustoja tarkisteta. Esimerkiksi nimi ”Erin M. Hagens” on jaettu kolmeen kuponkia: ”Erin”, ”M”, ja ”Hagens”., Koska toinen merkki on vain yksi merkki pitkä, se jätetään huomiotta. Siksi Tällä käyttäjällä ei voinut olla salasanaa, joka sisälsi joko ”erin” tai ”hagens” alustana missä tahansa salasanassa.,

  2. salasana sisältää merkkejä kolmesta seuraavista ryhmistä:

    • Isot kirjaimet Euroopan kielten (A-Z, kanssa diacritic merkkejä, kreikkalaiset ja Kyrilliset merkkiä)

    • Pienet kirjaimet Euroopan kielten (a-z, terävä-s, diacritic merkkejä, kreikkalaiset ja Kyrilliset merkit)

    • Base 10 numeroa (0 kautta 9)

    • Nonalphanumeric merkit: ~!@#$%^&*_-+=`|(){}:;”’<>,.?,/

    • mikä tahansa Unicode-merkki, joka luokitellaan aakkosmerkiksi mutta ei ole suuraakkonen tai pienaakkonen. Mukana on Unicode-merkkejä aasialaisista kielistä.

Kompleksisuusvaatimukset pannaan täytäntöön, kun salasanoja vaihdetaan tai luodaan.

Windows Server password complexity-vaatimuksiin sisältyvät säännöt ovat osa Passfiltiä.dll, ja niitä ei voida suoraan muuttaa.

mahdollistaa Oletussuodatuksen.,dll voi aiheuttaa lukittujen tilien ylimääräisiä avunpyyntöjä, koska käyttäjillä ei välttämättä ole salasanoja, jotka sisältävät muita kuin aakkosissa olevia merkkejä. Kuitenkin, tämä käytäntöasetus on tarpeeksi liberaali, että kaikkien käyttäjien pitäisi pystyä noudattamaan vaatimuksia, pieni oppimiskäyrä.

lisäasetukset, jotka voidaan sisällyttää mukautettuun Passfiltiin.dll on ei–ylempien rivien merkkien käyttö. Ylärivin merkit ovat niitä, jotka kirjoitetaan pitämällä SHIFT-näppäintä alhaalla ja kirjoittamalla jokin numeroista 1-10.,

Tämä käytäntöasetus ei tueta Windows-versioissa, jotka on nimetty Koskee luettelon alussa tästä aiheesta.

Mahdolliset arvot

  • Käytössä

  • poissa Käytöstä

  • ei Ole määritelty

Parhaat käytännöt

Aseta Salasanat on täytettävä monimutkaisuus vaatimukset Käytössä. Tämän käytäntöasetuksen käyttöön, yhdistettynä pienin salasanan pituus on 8, varmistaa, että on olemassa ainakin 218,340,105,584,896 eri mahdollisuuksia yhden salasanan. Tämä tekee raa ’ an ylivoimahyökkäyksen vaikeaksi, mutta ei silti mahdottomaksi.,

ALT-näppäinyhdistelmien käyttö voi lisätä huomattavasti salasanan monimutkaisuutta. Kuitenkin, vaatii kaikki käyttäjät organisaatiossa noudattaa tällaisia tiukkoja salasanavaatimuksia voi johtaa onnettomia käyttäjiä ja erittäin kiireinen Help Desk. Harkitse vaatimuksen toteuttamista organisaatiossasi, jotta voit käyttää ALT-merkkejä välillä 0128-0159 osana kaikkia järjestelmänvalvojan salasanoja. (ALT merkit tämän alueen ulkopuolella voi edustaa standardin aakkosnumeerisia merkkejä, jotka eivät lisää ylimääräistä monimutkaisuutta salasanan.,)

salasanat, jotka sisältävät vain aakkosnumeerisia merkkejä, on helppo tinkiä julkisesti saatavilla olevien työkalujen avulla. Tämän estämiseksi salasanojen tulisi sisältää lisämerkkejä ja täyttää kompleksisuusvaatimukset.

Paikka

GPO_name \tietokoneasetukset\Windows-Asetukset\suojausasetukset\Huomioon Policies\Salasana Politiikkaa

oletusarvot

seuraava taulukko sisältää todellinen ja tehokas default policy-arvot viimeisin tuettuja Windows-versioita. Oletusarvot on lueteltu myös vakuutuksen omaisuussivulla.,r>

Default domain controller policy Käytössä Stand-alone-palvelin, oletusarvo asetukset ei Käytössä Domain controller tehokas default asetukset Käytössä Jäsen-palvelin tehokas default asetukset Käytössä Tehokas GPO oletusasetukset asiakastietokoneisiin ei Käytössä

Käyttöjärjestelmän versio erot

ei ole eroja siinä, miten tämä politiikka asetus toimii välillä tuettuja Windows-versioita.,

turvallisuusnäkökohdat

Tässä kappaleessa kuvataan, kuinka hyökkääjä voisi hyödyntää ominaisuus, tai sen kokoonpano, miten toteuttaa vastatoimi, ja mahdollisia kielteisiä seurauksia vastatoimi täytäntöönpanoa.

Heikkous

Salasanat, jotka sisältävät vain aakkosnumeerisia merkkejä ovat erittäin helppo löytää useita julkisesti saatavilla olevia työkaluja.

Salasana

Määritä Salasanat on täytettävä monimutkaisuus vaatimukset käytäntöasetuksen Käyttöön ja neuvoo käyttäjiä käyttämään erilaisia merkkejä niiden salasanoja.,

Kun yhdistetään Pienin salasanan pituus on 8, tämä politiikka asetus varmistaa, että useita eri mahdollisuuksia yhden salasanan on niin suuri, että se on vaikeaa (mutta ei mahdotonta) ja brute force hyökkäys onnistu. (Jos salasanan vähimmäispituuskäytäntöasetusta lisätään, myös onnistuneeseen hyökkäykseen tarvittava keskimääräinen aika kasvaa.,)

Potentiaalinen vaikutus

Jos oletus salasana monimutkaisuus kokoonpano säilyy, lisää Help Desk-puheluita varten lukittu-out-tilejä voi tapahtua, koska käyttäjät eivät ehkä ole tottuneet salasanoja, jotka sisältävät ei-kirjaimia, tai ne voi olla ongelmia salasanoja, jotka sisältävät aksentoituja merkkejä tai symboleita näppäimistöjä eri ulkoasuja. Kaikkien käyttäjien olisi kuitenkin voitava noudattaa monimutkaisuutta koskevaa vaatimusta mahdollisimman pienin vaikeuksin.

jos organisaatiossasi on tiukemmat turvallisuusvaatimukset, voit luoda mukautetun version Passfiltistä.,dll-tiedosto, joka mahdollistaa mielivaltaisen monimutkaisen salasanan lujuussääntöjen käytön. Esimerkiksi mukautettu salasanasuodatin saattaa vaatia ylempien rivien symbolien käyttöä. (Ylärivin symbolit ovat niitä, jotka vaativat painamaan ja pitämään SHIFT-näppäintä ja sitten painaa jotain numeroa välillä 1 ja 0.) Custom salasana filter voi myös suorittaa sanakirja tarkistaa, että ehdotettu salasana ei sisällä sanakirjasta tai palasia.

ALT-näppäinyhdistelmien käyttö voi lisätä huomattavasti salasanan monimutkaisuutta., Tällaiset tiukat salasanavaatimukset voivat kuitenkin johtaa Lisäapupyyntöihin. Vaihtoehtoisesti organisaatiosi voisi harkita vaatimusta kaikille järjestelmänvalvojan salasanoille käyttää ALT-merkkejä 0128-0159-sarjassa. (Alt-merkit tämän alueen ulkopuolella voivat edustaa tavallisia aakkosnumeerisia merkkejä, jotka eivät lisäisi salasanan monimutkaisuutta.)

Katso myös

Salasanakäytäntö

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *