- 11/27/2017
- 5 minuti per leggere
Applica Per: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Questa la politica di sicurezza argomento di riferimento per i professionisti IT che descrive le migliori pratiche, la posizione, i valori e le considerazioni di sicurezza per questa impostazione di criterio.,
Riferimento
Le password devono soddisfare i requisiti di complessità L’impostazione dei criteri determina se le password devono soddisfare una serie di linee guida considerate importanti per una password complessa. L’attivazione di questa impostazione richiede che le password soddisfino i seguenti requisiti:
-
Le password potrebbero non contenere il valore samAccountName (Nome account) dell’utente o l’intero displayName (Nome completo). Entrambi i controlli non sono case sensitive.
samAccountName viene controllato nella sua interezza solo per determinare se fa parte della password., Se samAccountName è lungo meno di tre caratteri, questo controllo viene saltato.
displayName viene analizzato per delimitatori: virgole, punti, trattini o trattini, caratteri di sottolineatura, spazi, segni di libbra e tabulazioni. Se viene trovato uno di questi delimitatori, displayName viene diviso e tutte le sezioni analizzate (token) vengono confermate per non essere incluse nella password. I token con meno di tre caratteri vengono ignorati e le sottostringhe dei token non vengono controllate. Ad esempio, il nome “Erin M. Hagens” è diviso in tre token: “Erin”, “M” e “Hagens”., Poiché il secondo token è lungo solo un carattere, viene ignorato. Pertanto, questo utente non può avere una password che includa ” erin “o” hagens ” come sottostringa in qualsiasi punto della password.,
-
La password contiene caratteri di tre delle seguenti categorie:
-
lettere Maiuscole di lingue Europee (da A A Z, con segni diacritici, greco e Cirillico caratteri)
-
le lettere Minuscole delle lingue Europee (da a a z, sharp-s, con segni diacritici, greci e Cirillici)
-
in Base 10 cifre (da 0 a 9)
-
caratteri non alfanumerici: ~!@#% % ^ &*_-+=`|(){}:;”‘< >,.?,/
-
Qualsiasi carattere Unicode che è classificato come un carattere alfabetico, ma non è maiuscolo o minuscolo. Questo include caratteri Unicode dalle lingue asiatiche.
-
I requisiti di complessità vengono applicati quando le password vengono modificate o create.
Le regole incluse nei requisiti di complessità delle password di Windows Server fanno parte di Passfilt.dll, e non possono essere modificati direttamente.
Abilitazione del Passfilt predefinito.,dll può causare alcune chiamate di Help Desk aggiuntive per gli account bloccati perché gli utenti potrebbero non essere abituati ad avere password che contengono caratteri diversi da quelli trovati nell’alfabeto. Tuttavia, questa impostazione dei criteri è abbastanza liberale che tutti gli utenti dovrebbero essere in grado di rispettare i requisiti con una curva di apprendimento minore.
Impostazioni aggiuntive che possono essere incluse in un Passfilt personalizzato.dll sono l’uso di caratteri non di riga superiore. I caratteri della riga superiore sono quelli che vengono digitati tenendo premuto il tasto MAIUSC e digitando una qualsiasi delle cifre da 1 a 10.,
Questa impostazione dei criteri è supportata nelle versioni di Windows indicate nell’elenco Applica a all’inizio di questo argomento.
Valori possibili
-
Abilitato
-
Disabilitato
-
Non definito
Best practice
Impostare le password deve soddisfare i requisiti di complessità abilitati. Questa impostazione dei criteri, combinata con una lunghezza minima della password di 8, garantisce che ci siano almeno 218.340.105.584.896 diverse possibilità per una singola password. Questo rende un attacco di forza bruta difficile, ma ancora non impossibile.,
L’uso di combinazioni di caratteri chiave ALT può migliorare notevolmente la complessità di una password. Tuttavia, richiedere a tutti gli utenti di un’organizzazione di aderire a tali severi requisiti di password può causare utenti insoddisfatti e un Help Desk estremamente occupato. Considerare l’implementazione di un requisito nell’organizzazione per utilizzare caratteri ALT nell’intervallo da 0128 a 0159 come parte di tutte le password di amministratore. (I caratteri ALT al di fuori di questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità alla password.,)
Le password che contengono solo caratteri alfanumerici sono facili da compromettere utilizzando strumenti disponibili pubblicamente. Per evitare ciò, le password devono contenere caratteri aggiuntivi e soddisfare i requisiti di complessità.
Posizione
GPO_name \Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password
Valori predefiniti
La seguente tabella elenca i valori effettivi ed effettivi dei criteri predefiniti per le più recenti versioni supportate di Windows. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.,r>
versione del sistema Operativo differenze
non Ci sono differenze nel modo in cui questa impostazione di criteri di opere tra le versioni supportate di Windows.,
Considerazioni sulla sicurezza
Questa sezione descrive come un utente malintenzionato potrebbe sfruttare una funzionalità o la sua configurazione, come implementare la contromisura e le possibili conseguenze negative dell’implementazione della contromisura.
Vulnerabilità
Le password che contengono solo caratteri alfanumerici sono estremamente facili da scoprire con diversi strumenti disponibili pubblicamente.
Contromisura
Configurare le password deve soddisfare requisiti di complessità impostazione dei criteri per abilitato e consigliare agli utenti di utilizzare una varietà di caratteri nelle loro password.,
Quando combinato con una lunghezza minima della password di 8, questa impostazione di politica assicura che il numero di diverse possibilità per una singola password è così grande che è difficile (ma non impossibile) per un attacco di forza bruta per riuscire. (Se l’impostazione della durata minima della password viene aumentata, aumenta anche la quantità media di tempo necessaria per un attacco riuscito.,)
Impatto potenziale
Se viene mantenuta la configurazione predefinita della complessità della password, potrebbero verificarsi ulteriori chiamate di Help Desk per account bloccati perché gli utenti potrebbero non essere abituati a password che contengono caratteri non alfabetici o potrebbero avere problemi nell’inserimento di password che contengono caratteri accentati o simboli su tastiere con layout diversi. Tuttavia, tutti gli utenti dovrebbero essere in grado di soddisfare il requisito di complessità con la minima difficoltà.
Se l’organizzazione ha requisiti di sicurezza più rigorosi, è possibile creare una versione personalizzata del Passfilt.,file dll che consente l’utilizzo di regole di forza password arbitrariamente complesse. Ad esempio, un filtro password personalizzato potrebbe richiedere l’uso di simboli non di riga superiore. (I simboli della riga superiore sono quelli che richiedono di tenere premuto il tasto MAIUSC e quindi premere una delle cifre comprese tra 1 e 0.) Un filtro password personalizzato potrebbe anche eseguire un controllo del dizionario per verificare che la password proposta non contenga parole o frammenti comuni del dizionario.
L’uso di combinazioni di caratteri chiave ALT può migliorare notevolmente la complessità di una password., Tuttavia, tali stringenti requisiti di password possono comportare ulteriori richieste di Help Desk. In alternativa, l’organizzazione potrebbe considerare un requisito per tutte le password di amministratore per utilizzare i caratteri ALT nell’intervallo 0128-0159. (I caratteri ALT al di fuori di questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungerebbero ulteriore complessità alla password.)
Vedere anche
Politica della password
