- 11/27/2017
- 5 minutter på å lese
Gjelder For: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Dette sikkerhetspolitikk referanse tema for DET profesjonelle beskriver beste praksis, beliggenhet, verdier, og sikkerhetsvurderinger for denne policyinnstillingen.,
Referanse
Passord må oppfylle kompleksitet krav policy-innstillingen bestemmer om passord må oppfylle en rekke retningslinjer som er ansett som viktig for et sterkt passord. Aktivering av denne policyinnstillingen krever passord for å oppfylle følgende krav:
-
Passord kan ikke inneholde brukerens samAccountName (kontonavn) verdi eller hele displayName (Fullt Navn-verdi). Begge sjekker er ikke mellom store og små bokstaver.
samAccountName er sjekket i sin helhet, bare for å finne ut om det er en del av passord., Hvis samAccountName er mindre enn tre tegn, denne sjekken er hoppet over.
displayName er analysert for skilletegn: komma, punktum, bindestrek eller bindestrek, understrek, mellomrom, nummertegn og faner. Hvis noen av disse skilletegn er funnet, displayName er delt og alle analyseres seksjoner (tokens) er bekreftet å ikke være inkludert i passord. Symboler som er mindre enn tre tegn, ignoreres, og substrings av symboler er ikke kontrollert. For eksempel, navnet «Erin M. om begrepene respekt og» er delt inn i tre tokens: «Erin», «M», og «om begrepene respekt og»., Fordi den andre token er bare ett tegn lang, det er ignorert. Derfor er denne brukeren ikke kunne ha et passord som er inkludert i enten «erin» eller «om begrepene respekt og» som en del hvor som helst i passord.,
-
passordet inneholder tegn fra tre av følgende kategorier:
-
Store bokstaver av Europeiske språk (A til Z, med diakritisk merker, greske og Kyrilliske tegn)
-
Små bokstaver av Europeiske språk (a til z, skarp-s, med diakritisk merker, greske og Kyrilliske tegn)
-
Base 10 sifre (0 til 9)
-
Nonalphanumeric tegn: ~!@#$%^&*_-+=`|(){}:;»‘<>,.?,/
-
Alle Unicode-tegn som er kategorisert som en bokstav, men er ikke store eller små. Dette inkluderer Unicode-tegn fra Asiatiske språk.
-
Kompleksitet kravene trer i kraft når passord er endret eller opprettet.
De regler som er inkludert i Windows Server passord kompleksitet kravene er en del av Passfilt.dll, og de kan ikke direkte er endret.
Aktiverer standard Passfilt.,dll-fil kan føre til at noen flere henvendelser for låst ut kontoer, fordi brukere kan ikke brukes til å ha passord som inneholder andre tegn enn de som finnes i alfabetet. Imidlertid, denne policyinnstillingen liberal nok til at alle brukere skal være i stand til å overholde kravene med en liten læringskurve.
Flere innstillinger som kan være inkludert i en tilpasset Passfilt.dll-er bruken av ikke–øverste rad tegn. Øverste rad tegn er de som er skrevet inn ved å holde nede SKIFT-tasten og skrive noen av tallene fra 1 til 10.,
Denne policyinnstillingen støttes ikke på alle versjoner av Windows som er utpekt i Gjelder listen i begynnelsen av dette emnet.
Mulige verdier
-
Aktivert
-
Deaktivert
-
Ikke definert
Best practices
Angi Passord må oppfylle kompleksitet krav til Aktivert. Denne policyinnstillingen, kombinert med et minimum av passord lengde på 8, sørger for at det er minst 218,340,105,584,896 ulike muligheter for et enkelt passord. Dette gjør et brute force-angrep vanskelig, men likevel ikke umulig.,
bruke ALT-tasten karakter kombinasjoner kan i stor grad forbedre kompleksiteten av passord. Men, som krever at alle brukere i en organisasjon å forholde seg til slike strenge krav til passord kan føre til misfornøyde brukere, og en ekstremt opptatt Help Desk. Vurder å implementere et krav i organisasjonen til å bruke ALT-tegn i området fra 0128 gjennom 0159 som en del av alle administrator passord. (ALT tegn utenfor dette området kan representere standard alfanumeriske tegn som ikke legge til ytterligere kompleksitet passord.,)
Passord som bare inneholde alfanumeriske tegn er lett å invadere ved bruk av offentlig tilgjengelige verktøy. For å hindre dette, passord bør inneholde flere tegn og møte kompleksitet krav.
Sted
GPO_name \Computer Configuration\Windows Settings\Security Settings\Konto Policies\Passord-Policy
Standard
følgende tabell viser den faktiske og effektiv standard policy verdier for den siste støttede versjoner av Windows. Standardverdiene er også oppført på den politiske eiendom side.,r>
Operating system versjon forskjeller
Det er ingen forskjeller i måten dette policy-innstillingen fungerer mellom støttede versjoner av Windows.,
sikkerhetsvurderinger
Dette avsnittet beskriver hvordan en angriper kan utnytte en funksjon eller dens konfigurasjon, hvordan å gjennomføre tiltak, og de mulige negative konsekvensene av tiltak gjennomføring.
Sårbarhet
Passord som bare inneholde alfanumeriske tegn er svært lett å oppdage med flere offentlig tilgjengelige verktøy.
Mottiltak
Konfigurere Passord må oppfylle kompleksitet krav policy-innstillingen Aktivert og gi råd til brukere for å bruke en rekke tegn i passord.,
Når kombinert med et Minimum av passord lengde på 8, denne policyinnstillingen sikrer at antallet ulike muligheter for en enkelt passord er så stor at det er vanskelig (men ikke umulig) for et brute force-angrep for å lykkes. (Dersom Minimum passordlengde policy-innstillingen er økt, den gjennomsnittlige mengden av tid som er nødvendig for et vellykket angrep øker også.,)
Potensiell effekt
Hvis standard passord kompleksitet konfigurasjon er beholdt, ekstra henvendelser til låst ut kontoer kan oppstå fordi brukere kan ikke være vant til passord som inneholder ikke-alfabetisk tegn, eller de kan ha problemer med å skrive inn passord som inneholder tegn med aksent eller symboler på tastaturer med forskjellige oppsett. Men, alle brukere bør være i stand til å overholde kompleksiteten kravet med minimale problemer.
Hvis din organisasjon har strengere krav til sikkerhet, kan du opprette en tilpasset versjon av Passfilt.,dll-fil som tillater bruk av vilkårlig komplekse passord styrke regler. For eksempel en egendefinert passord filter kan kreve bruk av ikke-øverste rad symboler. (Øvre rad symboler er de som krever at du trykker og holder nede SKIFT-tasten, og trykk deretter på noen av tallene mellom 1 og 0.) Et egendefinert passord filter kan også utføre en ordbok sjekk for å kontrollere at den foreslåtte passordet inneholder ikke vanlige ord fra ordboken, eller fragmenter.
bruke ALT-tasten karakter kombinasjoner kan i stor grad forbedre kompleksiteten av passord., Men så strenge krav til passord kan resultere i ytterligere Hjelp Skrivebord forespørsler. Alternativt, din organisasjon kan vurdere et krav for alle administrator passord for å kunne bruke ALT tegnene i 0128-0159 utvalg. (ALT tegn utenfor dette området kan representere standard alfanumeriske tegn som ikke ville legge til ytterligere kompleksitet passord.)
Se Også:
Passord Policy