- 11/27/2017
- 5 minuten te lezen
geldt voor: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Dit beveiligingsbeleidreferentieonderwerp voor de IT-professional beschrijft de beste praktijken, locatie, waarden en beveiligingsoverwegingen voor deze beleidsinstelling.,
referentie
De wachtwoorden moeten voldoen aan complexiteitsvereisten de beleidsinstelling bepaalt of wachtwoorden moeten voldoen aan een reeks richtlijnen die belangrijk worden geacht voor een sterk wachtwoord. Als u deze beleidsinstelling inschakelt, moeten wachtwoorden aan de volgende vereisten voldoen:
-
wachtwoorden mogen de samaccountnaam (accountnaam) van de gebruiker of de volledige displayName (volledige naamwaarde) niet bevatten. Beide controles zijn niet hoofdlettergevoelig.
de samaccountnaam wordt alleen in zijn geheel gecontroleerd om te bepalen of het deel uitmaakt van het wachtwoord., Als de samaccountnaam minder dan drie tekens lang is, wordt deze controle overgeslagen.
De displayName wordt ontleed voor scheidingstekens: komma ‘ s, punten, streepjes of koppeltekens, underscores, spaties, pound signs en tabs. Als een van deze scheidingstekens wordt gevonden, wordt de displayName gesplitst en worden alle ontleed secties (tokens) bevestigd dat ze niet in het wachtwoord zijn opgenomen. Tokens die minder dan drie tekens zijn, worden genegeerd en substrings van de tokens worden niet gecontroleerd. Bijvoorbeeld, de naam “Erin M. Hagens “is opgesplitst in drie tokens:” Erin”,” M”, en”Hagens”., Omdat het tweede teken slechts één teken lang is, wordt het genegeerd. Daarom kon deze gebruiker geen wachtwoord hebben dat “erin” of “hagens” bevatte als een substring ergens in het wachtwoord.,
-
Het wachtwoord bevat tekens uit drie van de volgende categorieën:
-
de Hoofdletters van de Europese talen (A tot Z, met diakritische tekens, griekse en Cyrillische tekens)
-
Kleine letters van de Europese talen (a tot z, scherp-s, met diakritische tekens, griekse en Cyrillische tekens)
-
Base 10 cijfers (0 tot 9)
-
niet-alfanumerieke tekens: ~!@#$ % ^&*_-+=`|(){}:;”‘<>,.?,/
-
elk Unicode-teken dat is gecategoriseerd als een alfabetisch teken, maar geen hoofdletters of kleine letters is. Dit omvat Unicode-tekens uit Aziatische talen.
-
complexiteitsvereisten worden afgedwongen wanneer wachtwoorden worden gewijzigd of aangemaakt.
de regels die zijn opgenomen in de Windows Server password complexity requirements zijn onderdeel van Passfilt.dll, en ze kunnen niet direct worden gewijzigd.
Het standaard Passfilt inschakelen.,dll kan extra Helpdesk-oproepen veroorzaken voor vergrendelde accounts omdat gebruikers niet gewend zijn aan wachtwoorden die andere tekens bevatten dan die in het alfabet. Echter, deze beleidsinstelling is liberaal genoeg dat alle gebruikers moeten kunnen voldoen aan de eisen met een kleine leercurve.
extra instellingen die kunnen worden opgenomen in een aangepast Passfilt.dll zijn het gebruik van niet–bovenste rij tekens. Tekens in de bovenste rij zijn tekens die worden getypt door de SHIFT-toets ingedrukt te houden en een van de cijfers van 1 tot en met 10 te typen.,
deze beleidsinstelling wordt ondersteund op versies van Windows die zijn aangewezen in de lijst Toepassen op aan het begin van dit onderwerp.
mogelijke waarden
-
ingeschakeld
-
uitgeschakeld
-
Niet gedefinieerd
Best practices
wachtwoorden instellen moet voldoen aan complexiteitsvereisten om ingeschakeld te zijn. Deze beleidsinstelling, gecombineerd met een minimale wachtwoordlengte van 8, zorgt ervoor dat er minstens 218.340.105.584.896 verschillende mogelijkheden zijn voor een enkel wachtwoord. Dit maakt een brute kracht aanval moeilijk, maar nog steeds niet onmogelijk.,
het gebruik van ALT – toetscombinaties kan de complexiteit van een wachtwoord aanzienlijk vergroten. Echter, het vereisen van alle gebruikers in een organisatie om zich te houden aan dergelijke strenge wachtwoordvereisten kan resulteren in ongelukkige gebruikers en een extreem drukke helpdesk. Overweeg het implementeren van een vereiste in uw organisatie om ALT-tekens te gebruiken in het bereik van 0128 tot 0159 als onderdeel van alle beheerderswachtwoorden. (ALT-tekens buiten dit bereik kunnen standaard alfanumerieke tekens vertegenwoordigen die geen extra complexiteit aan het wachtwoord toevoegen.,)
wachtwoorden die alleen alfanumerieke tekens bevatten, zijn gemakkelijk te compromitteren door gebruik te maken van publiek beschikbare tools. Om dit te voorkomen, moeten wachtwoorden extra tekens bevatten en voldoen aan complexiteitsvereisten.
locatie
Gpo_naam \ Computerconfiguratie \ Windows-instellingen \ Beveiligingsinstellingen \ Accountbeleid\wachtwoordbeleid
standaardwaarden
de volgende tabel toont de actuele en effectieve standaardbeleidswaarden voor de meest recente ondersteunde versies van Windows. Standaardwaarden worden ook vermeld op de eigenschappenpagina van het beleid.,r>
versieverschillen besturingssysteem
Er zijn geen verschillen in de manier waarop deze beleidsinstelling werkt tussen ondersteunde versies van Windows.,
beveiligingsoverwegingen
Deze sectie beschrijft hoe een aanvaller een functie of zijn configuratie kan exploiteren, hoe de tegenmaatregel te implementeren, en de mogelijke negatieve gevolgen van tegenmaatregel implementatie.
kwetsbaarheid
wachtwoorden die alleen alfanumerieke tekens bevatten zijn zeer eenvoudig te ontdekken met verschillende openbaar beschikbare tools.
tegenmaatregel
Configureer de wachtwoorden moeten voldoen aan de beleidsinstelling complexiteit eisen om ingeschakeld te zijn en gebruikers te adviseren om een verscheidenheid aan tekens in hun wachtwoorden te gebruiken.,
in combinatie met een minimale wachtwoordlengte van 8, zorgt deze beleidsinstelling ervoor dat het aantal verschillende mogelijkheden voor een enkel wachtwoord zo groot is dat het moeilijk (maar niet onmogelijk) is voor een brute force aanval om te slagen. (Als de beleidsinstelling voor de minimale wachtwoordlengte wordt verhoogd, neemt de gemiddelde tijd die nodig is voor een succesvolle aanval ook toe.,)
potentiële impact
als de standaard wachtwoordcomplexiteitconfiguratie behouden blijft, kunnen extra Helpdesk-oproepen voor vergrendelde accounts optreden omdat gebruikers niet gewend zijn aan wachtwoorden die niet-alfabetische tekens bevatten, of ze kunnen problemen hebben met het invoeren van wachtwoorden die tekens of symbolen met accenten bevatten op toetsenborden met verschillende opmaak. Alle gebruikers moeten echter met minimale moeite aan de complexiteitseis kunnen voldoen.
als uw organisatie strengere beveiligingseisen heeft, kunt u een aangepaste versie van de Passfilt maken.,dll-bestand dat het gebruik van willekeurig complexe wachtwoordsterkte regels mogelijk maakt. Een aangepast wachtwoordfilter vereist bijvoorbeeld het gebruik van niet-bovenste rijsymbolen. (Bovenste rij symbolen zijn die waarvoor u de SHIFT-toets ingedrukt moet houden en vervolgens op een van de cijfers tussen 1 en 0 moet drukken.) Een aangepast wachtwoordfilter kan ook een woordenboekcontrole uitvoeren om te controleren of het voorgestelde wachtwoord geen gemeenschappelijke woordenboekwoorden of fragmenten bevat.
het gebruik van ALT – toetscombinaties kan de complexiteit van een wachtwoord aanzienlijk vergroten., Dergelijke strenge wachtwoordvereisten kunnen echter resulteren in extra Helpdesk-Verzoeken. Als alternatief kan uw organisatie een vereiste overwegen voor alle beheerderswachtwoorden om ALT-tekens in het bereik 0128-0159 te gebruiken. (ALT-tekens buiten dit bereik kunnen standaard alfanumerieke tekens vertegenwoordigen die geen extra complexiteit aan het wachtwoord toevoegen.)
zie ook
wachtwoordbeleid
