- 27/11/2017
- 5 minutes pour lire
S’applique à: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Les meilleures pratiques, l’emplacement, les valeurs et les considérations de sécurité pour ce paramètre de stratégie.,
référence
Les mots de passe doivent répondre aux exigences de complexité le paramètre de stratégie détermine si les mots de passe doivent répondre à une série de directives considérées comme importantes pour un mot de passe fort. L’activation de ce paramètre de stratégie nécessite que les mots de passe répondent aux exigences suivantes:
-
Les mots de passe ne peuvent pas contenir la valeur samAccountName (nom du compte) de l’utilisateur ou la valeur displayName entière (valeur du nom complet). Les deux vérifications ne sont pas sensibles à la casse.
le nom samAccountName est vérifié dans son intégralité uniquement pour déterminer s’il fait partie du mot de passe., Si samAccountName a moins de Trois Caractères, cette vérification est ignorée.
le displayName est analysé pour les délimiteurs: virgules, points, tirets ou tirets, traits de soulignement, espaces, signes de livre et tabulations. Si l’un de ces délimiteurs est trouvé, le displayName est divisé et toutes les sections analysées (jetons) sont confirmées pour ne pas être incluses dans le mot de passe. Les jetons de moins de trois caractères sont ignorés et les sous-chaînes des jetons ne sont pas vérifiées. Par exemple, le nom « Erin M. Hagens « est divisé en trois jetons: » Erin », » M « et »Hagens »., Parce que le deuxième jeton n’a qu’un caractère, il est ignoré. Par conséquent, cet utilisateur ne pouvait pas avoir de mot de passe incluant « erin » ou « hagens » comme sous-chaîne n’importe où dans le mot de passe.,
-
le mot de passe contient des caractères de trois des catégories suivantes:
-
lettres majuscules de langues européennes (A à Z, avec signes diacritiques, caractères grecs et cyrilliques)
-
lettres minuscules de langues européennes (a à z, dièse-s, avec signes diacritiques, caractères grecs et cyrilliques)
-
base 10 chiffres (0 à 9)
-
caractères non alphanumériques: ~!@#% % ^ &*_-+=`|(){}:; »‘l est possible de créer un fichier de données.?,/
-
tout caractère Unicode qui est classé comme un caractère alphabétique mais qui n’est pas majuscule ou minuscule. Cela inclut les caractères Unicode des langues asiatiques.
-
des exigences de Complexité sont appliquées lorsque les mots de passe sont modifiés ou créés.
Les règles incluses dans les exigences de complexité des mots de passe Windows Server font partie de Passfilt.dll, et ils ne peuvent pas être directement modifiés.
activation du Passfilt par défaut.,dll peut provoquer des appels supplémentaires du service D’assistance pour les comptes verrouillés, car les utilisateurs peuvent ne pas être habitués à avoir des mots de passe contenant des caractères autres que ceux trouvés dans l’alphabet. Cependant, ce paramètre de stratégie est suffisamment libéral pour que tous les utilisateurs puissent se conformer aux exigences avec une courbe d’apprentissage mineure.
Paramètres supplémentaires pouvant être inclus dans un Passfilt personnalisé.dll sont l’utilisation de caractères non-ligne supérieure. Les caractères de la ligne supérieure sont ceux qui sont tapés en maintenant la touche MAJ enfoncée et en tapant l’un des chiffres de 1 à 10.,
Ce paramètre de stratégie est pris en charge sur les versions de Windows désignées dans la liste S’applique à Au début de cette rubrique.
valeurs Possibles
-
Activé
-
Désactivé
-
Non défini
les Meilleures pratiques
Définir mot de passe doit respecter des exigences de complexité Activé. Ce paramètre de stratégie, combiné à une longueur de mot de passe minimale de 8, garantit qu’il existe au moins 218 340 105 584 896 possibilités différentes pour un seul mot de passe. Cela rend une attaque par force brute difficile, mais toujours pas impossible.,
L’utilisation de combinaisons de caractères ALT key peut grandement améliorer la complexité d’un mot de passe. Cependant, exiger que tous les utilisateurs d’une organisation respectent ces exigences strictes en matière de mot de passe peut entraîner des utilisateurs mécontents et un service D’assistance extrêmement occupé. Envisagez de mettre en œuvre une exigence dans votre organisation d’utiliser des caractères ALT compris entre 0128 et 0159 dans tous les mots de passe administrateur. (Les caractères ALT en dehors de cette plage peuvent représenter des caractères alphanumériques standard qui n’ajoutent pas de complexité supplémentaire au mot de passe.,)
Les mots de passe qui ne contiennent que des caractères alphanumériques sont faciles à compromettre en utilisant des outils accessibles au public. Pour éviter cela, les mots de passe doivent contenir des caractères supplémentaires et répondre aux exigences de complexité.
emplacement
GPO_name \configuration de L’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de Compte\stratégie de mot de passe
valeurs par défaut
Le tableau suivant répertorie les valeurs de stratégie par défaut réelles et effectives pour les versions les plus récentes prises en charge de Windows. Les valeurs par défaut sont également répertoriées sur la page de propriétés de la stratégie.,r>
différences de version du système D’exploitation
il n’y a pas de différences dans la façon dont ce paramètre de stratégie fonctionne entre les versions prises en charge de Windows.,
considérations de sécurité
Cette section décrit comment un attaquant peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de l’implémentation de la contre-mesure.
vulnérabilité
Les mots de passe qui ne contiennent que des caractères alphanumériques sont extrêmement faciles à découvrir avec plusieurs outils accessibles au public.
contre-mesure
configurer les mots de passe doivent répondre aux exigences de complexité paramètre de stratégie à Activé et Conseiller aux utilisateurs d’utiliser une variété de caractères dans leurs mots de passe.,
lorsqu’il est combiné avec une longueur de mot de passe minimale de 8, ce paramètre de stratégie garantit que le nombre de possibilités différentes pour un seul mot de passe est si grand qu’il est difficile (mais pas impossible) pour une attaque par force brute de réussir. (Si le paramètre de stratégie de longueur de mot de passe Minimum est augmenté, la durée moyenne nécessaire à une attaque réussie augmente également.,)
impact potentiel
Si la configuration de complexité du mot de passe par défaut est conservée, des appels supplémentaires au service D’assistance pour les comptes verrouillés peuvent se produire car les utilisateurs ne sont pas habitués aux mots de passe contenant des caractères non alphabétiques ou peuvent avoir des problèmes à saisir des mots de passe contenant Cependant, tous les utilisateurs devraient être en mesure de se conformer à l’exigence de complexité avec un minimum de difficulté.
Si votre organisation a des exigences de sécurité plus strictes, vous pouvez créer une version personnalisée du Passfilt.,fichier dll qui permet l’utilisation de règles de force de mot de passe arbitrairement complexes. Par exemple, un filtre de mot de passe personnalisé peut nécessiter l’utilisation de symboles autres que ceux de la ligne supérieure. (Les symboles de la rangée supérieure sont ceux qui vous obligent à appuyer sur la touche MAJ enfoncée, puis à appuyer sur l’un des chiffres compris entre 1 et 0.) Un filtre de mot de passe personnalisé peut également effectuer une vérification du dictionnaire pour vérifier que le mot de passe proposé ne contient pas de mots ou de fragments de dictionnaire courants.
L’utilisation de combinaisons de caractères ALT key peut grandement améliorer la complexité d’un mot de passe., Cependant, de telles exigences strictes en matière de mot de passe peuvent entraîner des demandes D’assistance supplémentaires. Alternativement, votre organisation pourrait considérer que tous les mots de passe administrateur doivent utiliser des caractères ALT dans la plage 0128-0159. (Les caractères ALT en dehors de cette plage peuvent représenter des caractères alphanumériques standard qui n’ajouteraient pas de complexité supplémentaire au mot de passe.)
Voir Aussi
Stratégie de Mot de passe