- 11/27/2017
- 5 Minuten zum Lesen
Gilt Für: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
in Diesem security policy-referenzthema für IT-Experten beschreibt die best practices, location, values, and security considerations für diese Richtlinieneinstellung.,
Referenz
Die Kennwörter müssen die Anforderungen erfüllen Richtlinieneinstellung bestimmt, ob Kennwörter eine Reihe von Richtlinien erfüllen müssen, die für ein sicheres Kennwort als wichtig erachtet werden. Um diese Richtlinieneinstellung zu aktivieren, müssen Kennwörter die folgenden Anforderungen erfüllen:
-
Kennwörter enthalten möglicherweise nicht den sAMAccountName (Kontoname) – Wert des Benutzers oder den gesamten DisplayName (Vollständiger Name-Wert). Beide Prüfungen sind nicht groß-und Kleinschreibung.
Der sAMAccountName wird in seiner Gesamtheit nur überprüft, um festzustellen, ob er Teil des Kennworts ist., Wenn sAMAccountName weniger als drei Zeichen lang ist, wird diese Prüfung übersprungen.
Der anzeigeName wird für Trennzeichen analysiert: Kommas, Punkte, Bindestriche oder Bindestriche, Unterstriche, Leerzeichen, Vorzeichen und Registerkarten. Wenn eines dieser Trennzeichen gefunden wird, wird der anzeigeName aufgeteilt und alle analysierten Abschnitte (Token) werden bestätigt, dass sie nicht im Kennwort enthalten sind. Token mit weniger als drei Zeichen werden ignoriert und Teilzeichenfolgen der Token werden nicht überprüft. Zum Beispiel ist der Name „Erin M. Hagens“ in drei Token unterteilt: „Erin“, „M“ und „Hagens“., Da das zweite Token nur ein Zeichen lang ist, wird es ignoriert. Daher konnte dieser Benutzer kein Passwort haben, das entweder „erin“ oder „hagens“ als Teilzeichenfolge irgendwo im Passwort enthielt.,
-
Das Passwort enthält Zeichen aus drei der folgenden Kategorien:
-
Großbuchstaben europäischer Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Zeichen)
-
Kleinbuchstaben europäischer Sprachen (a bis z, sharp-s, mit diakritischen Zeichen, griechischen und kyrillischen Zeichen)
-
Basis 10 Ziffern (0 bis 9)
-
Nichtalphanumerische Zeichen: ~!@#$%^&*_-+=`|(){}:;“‚<>,.?,/
-
Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, aber nicht Groß-oder Kleinbuchstaben ist. Dazu gehören Unicode-Zeichen aus asiatischen Sprachen.
-
Komplexitätsanforderungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.
Die Regeln, die in den Windows Server Password complexity requirements enthalten sind, sind Teil von Passfilt.dll, und sie können nicht direkt geändert werden.
Aktivieren des Standard-Passfilts.,dies kann zu zusätzlichen Helpdesk-Aufrufen für gesperrte Konten führen, da Benutzer möglicherweise nicht daran gewöhnt sind, Kennwörter zu haben, die andere Zeichen als die im Alphabet enthaltenen enthalten. Diese Richtlinieneinstellung ist jedoch so liberal, dass alle Benutzer in der Lage sein sollten, die Anforderungen mit einer geringen Lernkurve einzuhalten.
Zusätzliche Einstellungen, die in einem benutzerdefinierten Passfilt enthalten sein können.dll sind die Verwendung von Zeichen ohne obere Zeile. Zeichen der oberen Zeile sind solche, die eingegeben werden, indem Sie die Umschalttaste gedrückt halten und eine der Ziffern von 1 bis 10 eingeben.,
Diese Richtlinieneinstellung wird für Windows-Versionen unterstützt, die in der Liste Gilt für am Anfang dieses Themas angegeben sind.
Mögliche Werte
-
Enabled
-
Deaktiviert
-
Nicht definiert
Best practices
Set Passwords must meet complexity requirements to Enabled. Diese Richtlinieneinstellung in Kombination mit einer Mindestkennwortlänge von 8 stellt sicher, dass mindestens 218,340,105,584,896 verschiedene Möglichkeiten für ein einzelnes Kennwort vorhanden sind. Dies macht einen Brute-Force-Angriff schwierig, aber immer noch nicht unmöglich.,
Die Verwendung von ALT-Tastenkombinationen kann die Komplexität eines Passworts erheblich erhöhen. Wenn jedoch alle Benutzer in einer Organisation solche strengen Kennwortanforderungen einhalten müssen, kann dies zu unglücklichen Benutzern und einem äußerst geschäftigen Helpdesk führen. Erwägen Sie die Implementierung einer Anforderung in Ihrer Organisation, ALT-Zeichen im Bereich von 0128 bis 0159 als Teil aller Administratorkennwörter zu verwenden. (ALT-Zeichen außerhalb dieses Bereichs können alphanumerische Standardzeichen darstellen, die dem Kennwort keine zusätzliche Komplexität verleihen.,)
Passwörter, die nur alphanumerische Zeichen enthalten, lassen sich mit öffentlich verfügbaren Tools leicht kompromittieren. Um dies zu verhindern, sollten Kennwörter zusätzliche Zeichen enthalten und Komplexitätsanforderungen erfüllen.
Speicherort
GPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte für die zuletzt unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftsseite der Richtlinie aufgeführt.,r>
td>
Unterschiede in der Betriebssystemversion
Es gibt keine Unterschiede in der Funktionsweise dieser Richtlinieneinstellung zwischen unterstützten Windows-Versionen.,
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder seine Konfiguration ausnutzt, wie die Gegenmaßnahme implementiert wird und welche negativen Folgen eine Gegenmaßnahme haben kann.
Sicherheitslücke
Kennwörter, die nur alphanumerische Zeichen enthalten, sind mit mehreren öffentlich verfügbaren Tools äußerst einfach zu erkennen.
Gegenmaßnahme
Konfigurieren Sie die Kennwörter müssen die Anforderungen erfüllen Richtlinieneinstellung Aktiviert und raten Benutzern, eine Vielzahl von Zeichen in ihren Kennwörtern zu verwenden.,
In Kombination mit einer Mindestkennwortlänge von 8 stellt diese Richtlinieneinstellung sicher, dass die Anzahl der verschiedenen Möglichkeiten für ein einzelnes Kennwort so groß ist, dass es für einen Brute-Force-Angriff schwierig (aber nicht unmöglich) ist, erfolgreich zu sein. (Wenn die Richtlinieneinstellung für die Mindestkennwortlänge erhöht wird, erhöht sich auch die durchschnittliche Zeit, die für einen erfolgreichen Angriff erforderlich ist.,)
Potenzielle Auswirkungen
Wenn die Standardkonfiguration für die Komplexität des Kennworts beibehalten wird, können zusätzliche Helpdesk-Aufrufe für gesperrte Konten auftreten, da Benutzer möglicherweise nicht an Kennwörter gewöhnt sind, die nicht alphabetische Zeichen enthalten, oder sie können Probleme bei der Eingabe von Kennwörtern haben, die akzentuierte Zeichen oder Symbole auf Tastaturen mit unterschiedlichen Layouts enthalten. Alle Benutzer sollten jedoch in der Lage sein, die Komplexitätsanforderung mit minimalen Schwierigkeiten zu erfüllen.
Wenn Ihre Organisation strengere Sicherheitsanforderungen hat, können Sie eine benutzerdefinierte Version des Passfilts erstellen.,dll-Datei, die die Verwendung von beliebig komplexen Passwort-Strength-Regeln ermöglicht. Beispielsweise erfordert ein benutzerdefinierter Kennwortfilter möglicherweise die Verwendung von Symbolen außerhalb der oberen Zeile. (Symbole der oberen Reihe müssen die Umschalttaste gedrückt halten und dann eine der Ziffern zwischen 1 und 0 drücken.) Ein benutzerdefinierter Kennwortfilter kann auch eine Wörterbuchprüfung durchführen, um zu überprüfen, ob das vorgeschlagene Kennwort keine allgemeinen Wörterbuchwörter oder-fragmente enthält.
Die Verwendung von ALT-Tastenkombinationen kann die Komplexität eines Passworts erheblich erhöhen., Solche strengen Kennwortanforderungen können jedoch zu zusätzlichen Helpdesk-Anfragen führen. Alternativ könnte Ihre Organisation eine Anforderung für alle Administratorkennwörter in Betracht ziehen, ALT-Zeichen im Bereich 0128-0159 zu verwenden. (ALT-Zeichen außerhalb dieses Bereichs können alphanumerische Standardzeichen darstellen, die dem Kennwort keine zusätzliche Komplexität verleihen.)
Siehe Auch
Kennwortrichtlinie
