- 11/27/2017
- 5 분을 읽
용:Windows Vista,Windows Server2008,Windows7,Windows8.1,Windows Server2008R2,Windows Server2012R2,Windows Server2012 Windows8
이 보안 정책을 참조 항목에 대한 IT 전문가가 최상의 방법을 설명합,위치,가치관,보안에 대한 고려사항이 정책을 설정합니다.,
참조
암호는 복잡성을 만족해야 함 정책 설정지 여부를 결정 암호를 충족해야 하는 일련의 가이드라인으로 중요한 강력한 암호입니다. 이 정책 설정을 사용하면 필요한 암호를 다음과 같은 요구 사항을 충족
-
암호를 포함할 수 없습니다 사용자의 samAccountName(계정의 이름)가치 또는 전체 이름(이름 값). 두 검사 모두 대소 문자를 구분하지 않습니다.
samAccountName 은 암호의 일부인지 여부를 확인하기 위해서만 전체적으로 검사됩니다., SamAccountName 길이가 3 자 미만인 경우 이 검사는 건너뜁니다.
의 이름은 분석을 위해 구분 기호:쉼표,대시 또는 하이픈,밑줄,공간,파운드 표지판과 탭을 표시합니다. 이러한 구분 기호는 찾을젝 분할과 모든 분석 섹션(토큰)확인에 포함되지 않습니다. 3 자 미만인 토큰은 무시되며 토큰의 부분 문자열은 검사되지 않습니다. 예를 들어,”Erin M.Hagens”라는 이름은”Erin”,”M”및”Hagens”의 세 가지 토큰으로 나뉩니다., 두 번째 토큰은 한 문자 만 길기 때문에 무시됩니다. 따라서이 사용자는 암호의 어느 곳에서나 하위 문자열로”erin”또는”hagens”를 포함하는 암호를 가질 수 없습니다.,
-
암호는 문자가 포함되어 다음과 같은 세 가지 범주:
-
유럽 언어의 대문자(A~Z,으로 분음표와 그리스,키릴 문자)
-
유럽 언어의 대/소문자(a~z,날카로운 s,분음표와 그리스,키릴 문자)
-
기 10 자리 숫자(0~9)
-
영숫자 문자~!나는 이것을 할 수 없다.>*_-+=`|(){}:;”‘는 이것이 어떻게 작동하는지 잘 모르겠습니다.?,/
-
알파벳 문자로 분류되지만 대문자 또는 소문자가 아닌 모든 유니 코드 문자. 여기에는 아시아 언어의 유니 코드 문자가 포함됩니다.
-
복잡도 요구 사항은 암호가 변경되거나 생성 될 때 적용됩니다.
Windows Server 암호 복잡성 요구 사항에 포함된 규칙은 Passfilt 의 일부입니다.dll 및 직접 수정할 수 없습니다.
기본 Passfilt 활성화.,dll 을 일으킬 수 있는 몇 가지 추가 헬프 데스크에 대한 잠긴 계정이기 때문에 사용자는 사용되지 않을 수 있습하는 데 문자를 포함하는 암호를 다른 사람들보다에서 찾을 알파벳이 있습니다. 그러나,이의 정책 설정은 충분히 자유롭게는 모든 사용자가해야 할 수 있을 준수 요구 사항 간단한 학습.
사용자 정의 Passfilt 에 포함될 수있는 추가 설정.dll 은 상위 행이 아닌 문자를 사용합니다. 상단 행 문자는 SHIFT 키를 누른 상태에서 1 에서 10 까지의 숫자를 입력하여 입력 한 문자입니다.,
이 정책 설정은 이 항목의 시작 부분에 있는 적용 대상 목록에 지정된 Windows 버전에서 지원됩니다.
가능한 값
-
사용 가능
-
장애인용
-
정의하지 않
모범 사례
암호를 설정해야합 복잡성 요구 사항을 충족하여 활성화됩니다. 이 정책 설정과 함께 최소 암호의 길이를 8,가 있다는 것을 보증이 적어도 218,340,105,584,896 서로 다른의 가능성에 대한 하나의 암호입니다. 이것은 무차별 대입 공격을 어렵게 만들지 만 여전히 불가능하지는 않습니다.,
ALT 키 문자 조합을 사용하면 암호의 복잡성을 크게 향상시킬 수 있습니다. 그러나 요구하는 모든 사용자에 조직하여 준수를 이러한 엄격한 암호를 요구할 수 있는 결과에서는 불행한 사용자와 매우 바쁜실 수 있습니다. 모든 관리자 암호의 일부로 0128 에서 0159 범위의 ALT 문자를 사용하려면 조직에서 요구 사항을 구현하는 것이 좋습니다. (이 범위를 벗어난 ALT 문자는 암호에 추가적인 복잡성을 추가하지 않는 표준 영숫자 문자를 나타낼 수 있습니다.,)
영숫자 문자 만 포함 된 암호는 공개적으로 사용 가능한 도구를 사용하여 손상되기 쉽습니다. 이를 방지하려면 암호에 추가 문자가 포함되어야하며 복잡성 요구 사항을 충족해야합니다.
위
GPO_name\컴퓨터 구성 설정\보안 설정\계정 정책\암호 정책
기본값
다음 표는 실제적이고 효과적인 기본 정책 값을 위해 가장 최근의 지원합니다. 기본값은 정책의 속성 페이지에도 나열됩니다.,r>
영 시스템 버전의 차이점
있는 방식에 차이점이 이 정책 설정을 사이에 작동합을 지원합니다.,
보안을 고려 사항
이 절에서 설명하는 방법을 공격자를 악용할 수 있는 기능 또는 구성,구현하는 방법에 대책,그리고 가능한 부정적인 결과의 보안 대책을 구현합니다.
취약점
암만 포함하는 영숫자 문자로 매우 쉽게 발견하는 공개적으로 사용할 수 있는 여러 도구입니다.
대책
구성하는 암호는 복잡성을 만족해야 함 정책 설정을 사용 및 조언을 사용하는 사용자의 다양한 문자에서 그들의 암호입니다.,
와 결합하면 최소 암호의 길이를 8,이 정책을 설정하는 다양한 가능성에 대한 하나의 비밀번호가 너무 어렵다(불가능하지만)에 대한 무력 공격 성공합니다. (최소 암호 길이 정책 설정이 증가하면 성공적인 공격에 필요한 평균 시간도 증가합니다.,)
잠재적인 영향
경우 기본 비밀번호 복잡한 구성이 유지되며,추가적인 도움말 데스크 통화에 대한 잠긴 계정이 발생할 수 있기 때문에 사용하지 않을 수 있습에 익숙해 암호를 포함하는 알파벳 문자,또는 그들의 문제가 발생할 수 있습 들어가 포함된 암호를 강조한 문자 또는 기호에 키보드 다양한 레이아웃. 그러나 모든 사용자는 최소한의 어려움으로 복잡성 요구 사항을 준수 할 수 있어야합니다.
조직에서 더 엄격한 보안 요구 사항이 있는 경우 passfilt 의 사용자 지정 버전을 만들 수 있습니다.,임의로 복잡한 암호 강도 규칙의 사용을 허용하는 dll 파일. 예를 들어 사용자 지정 암호 필터에는 위 행이 아닌 기호를 사용해야 할 수도 있습니다. (상단 행 기호는 SHIFT 키를 길게 누른 다음 1 과 0 사이의 숫자 중 하나를 눌러야하는 기호입니다. 시)비밀번호 사용자 정의 필터를 수행할 수도 있습어 사전 확인하는지 확인하려면 제안된 암호를 포함하지 않는 사전에 들어있는 일반적인 단어 또는 조각이 있습니다.
ALT 키 문자 조합을 사용하면 암호의 복잡성을 크게 향상시킬 수 있습니다., 그러나 이러한 엄격한 암호 요구 사항으로 인해 추가 헬프 데스크 요청이 발생할 수 있습니다. 또는 조직에서 0128-0159 범위의 ALT 문자를 사용하기 위해 모든 관리자 암호에 대한 요구 사항을 고려할 수 있습니다. (이 범위를 벗어난 ALT 문자는 암호에 추가적인 복잡성을 추가하지 않는 표준 영숫자 문자를 나타낼 수 있습니다.)
참조
암호 정책