- 27/11/2017
- 5 minut na przeczytanie
dotyczy: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
ten temat referencyjny polityki bezpieczeństwa dla informatyków opisuje najlepsze praktyki, lokalizacja, wartości i względy bezpieczeństwa dla tego ustawienia zasad.,
Reference
Hasła muszą spełniać wymagania dotyczące złożoności ustawienie zasad określa, czy hasła muszą spełniać szereg wytycznych, które są uważane za ważne dla silnego hasła. Włączenie tego ustawienia zasad wymaga, aby hasła spełniały następujące wymagania:
-
hasła nie mogą zawierać wartości sAMAccountName użytkownika (Nazwa konta) ani całej nazwy wyświetlacza (pełna nazwa). Obie kontrole nie uwzględniają wielkości liter.
samAccountName jest sprawdzany w całości tylko w celu określenia, czy jest częścią hasła., Jeśli samAccountName jest krótsze niż trzy znaki, to zaznaczenie jest pomijane.
displayName jest przetwarzane dla ograniczników: przecinków, kropek, myślników lub myślników, podkreślników, spacji, znaków funta i tabulatorów. Jeśli któryś z tych ograniczników zostanie znaleziony, displayName zostanie rozdzielone i wszystkie przetwarzane sekcje (tokeny) zostaną potwierdzone, że nie zostaną uwzględnione w haśle. Tokeny, które są mniejsze niż trzy znaki, są ignorowane, a podciągi tokenów nie są sprawdzane. Na przykład, nazwa „Erin M. Hagens” jest podzielona na trzy żetony: „Erin”, „M” i „Hagens”., Ponieważ drugi token ma tylko jeden znak, jest ignorowany. Dlatego ten użytkownik nie mógł mieć hasła, które zawierałoby” erin „lub” hagens ” jako podciąg w dowolnym miejscu hasła.,
-
hasło zawiera znaki z trzech następujących kategorii:
-
Wielkie Litery Języków Europejskich (od A do Z, ze znakami diakrytycznymi, znakami greckimi i cyrylicą)
-
małe litery Języków Europejskich (od A do z, ostre-s, ze znakami diakrytycznymi, znakami greckimi i cyrylicą)
-
baza 10 cyfr (0 do 9)
-
znaki niealfanumeryczne: ~!@#$%^&*_-+=`|(){}:;”'<>,.?,/
-
dowolny znak Unicode, który jest klasyfikowany jako znak alfabetyczny, ale nie jest wielką ani małą literą. Obejmuje to znaki Unicode z języków azjatyckich.
-
wymagania dotyczące złożoności są egzekwowane, gdy hasła są zmieniane lub tworzone.
reguły zawarte w wymaganiach dotyczących złożoności haseł systemu Windows Server są częścią Passfilt.dll, i nie mogą być bezpośrednio modyfikowane.
włączenie domyślnego Passfilt.,dll może powodować dodatkowe wywołania Help Desk dla zablokowanych kont, ponieważ użytkownicy mogą nie być przyzwyczajeni do haseł zawierających znaki inne niż te Znalezione w alfabecie. Jednak to ustawienie zasad jest na tyle liberalne, że wszyscy użytkownicy powinni być w stanie spełnić wymagania przy niewielkiej krzywej uczenia się.
dodatkowe ustawienia, które mogą być zawarte w niestandardowym Passfilt.biblioteki dll to użycie znaków spoza górnego wiersza. Znaki górnego wiersza to te, które wpisuje się przytrzymując klawisz SHIFT i wpisując dowolną cyfrę od 1 do 10.,
To ustawienie zasad jest obsługiwane w wersjach systemu Windows oznaczonych na liście zastosuj do na początku tego tematu.
Możliwe wartości
-
włączone
-
wyłączone
-
nie zdefiniowane
najlepsze praktyki
ustawione Hasła muszą spełniać wymagania złożoności, aby włączone. To ustawienie zasad, w połączeniu z minimalną długością hasła wynoszącą 8, zapewnia co najmniej 218 340 105 584 896 różnych możliwości dla pojedynczego hasła. To sprawia, że atak brute force jest trudny, ale wciąż nie niemożliwy.,
użycie kombinacji znaków klawisza ALT może znacznie zwiększyć złożoność hasła. Jednak wymaganie od wszystkich użytkowników w organizacji przestrzegania tak rygorystycznych wymagań dotyczących haseł może skutkować niezadowoleniem użytkowników i bardzo pracowitym Działem Pomocy Technicznej. Rozważ wdrożenie w swojej organizacji wymogu używania znaków ALT w zakresie od 0128 do 0159 jako części wszystkich haseł administratora. (Znaki ALT spoza tego zakresu mogą reprezentować standardowe znaki alfanumeryczne, które nie zwiększają złożoności hasła.,)
hasła zawierające tylko znaki alfanumeryczne są łatwe do złamania za pomocą publicznie dostępnych narzędzi. Aby temu zapobiec, hasła powinny zawierać dodatkowe znaki i spełniać wymagania dotyczące złożoności.
lokalizacja
Nazwa GPO \Computer Configuration\Windows Settings\Security Settings\account Policies\Password Policy
wartości domyślne
poniższa tabela zawiera rzeczywiste i skuteczne wartości domyślne zasad dla najnowszych obsługiwanych wersji systemu Windows. Wartości domyślne są również wymienione na stronie Właściwości zasad.,r>
różnice w wersji systemu operacyjnego
nie ma różnic w sposobie działania tego ustawienia zasad między obsługiwanymi wersjami systemu Windows.,
względy bezpieczeństwa
w tej sekcji opisano, w jaki sposób osoba atakująca może wykorzystać daną funkcję lub jej konfigurację, jak zaimplementować środek zaradczy oraz możliwe negatywne konsekwencje wdrożenia środka zaradczego.
hasła zawierające tylko znaki alfanumeryczne są niezwykle łatwe do wykrycia za pomocą kilku publicznie dostępnych narzędzi.
Przeciwdziałanie
Konfiguracja haseł musi spełniać wymagania dotyczące złożoności ustawienia zasad, aby włączyć i doradzać użytkownikom, aby używali różnych znaków w swoich hasłach.,
w połączeniu z minimalną długością hasła wynoszącą 8, to ustawienie zasady zapewnia, że liczba różnych możliwości dla pojedynczego hasła jest tak duża, że atak brute force jest trudny (ale nie niemożliwy). (Jeśli zostanie zwiększona minimalna długość hasła, zwiększy się również średni czas potrzebny na pomyślny atak.,)
potencjalny wpływ
jeśli domyślna konfiguracja złożoności hasła zostanie zachowana, mogą wystąpić dodatkowe wywołania Help Desk dla zablokowanych kont, ponieważ użytkownicy mogą nie być przyzwyczajeni do haseł zawierających znaki inne niż Alfabetyczne lub mogą mieć problemy z wprowadzaniem haseł zawierających znaki akcentowane lub symbole na klawiaturach o różnych układach. Jednak wszyscy użytkownicy powinni być w stanie spełnić wymóg złożoności z minimalnym trudem.
Jeśli Twoja organizacja ma bardziej rygorystyczne wymagania bezpieczeństwa, możesz utworzyć niestandardową wersję pliku Passfilt.,plik dll pozwalający na użycie dowolnie złożonych reguł siły haseł. Na przykład niestandardowy filtr haseł może wymagać użycia symboli spoza górnego wiersza. (Symbole górnego wiersza to te, które wymagają naciśnięcia i przytrzymania klawisza SHIFT, a następnie naciśnięcia dowolnej cyfry z zakresu od 1 do 0.) Niestandardowy filtr haseł może również wykonać sprawdzanie słownika, aby sprawdzić, czy proponowane hasło nie zawiera wspólnych słów lub fragmentów słownika.
użycie kombinacji znaków klawisza ALT może znacznie zwiększyć złożoność hasła., Jednak takie rygorystyczne wymagania dotyczące haseł mogą skutkować dodatkowymi wnioskami o pomoc techniczną. Alternatywnie organizacja może rozważyć wymóg, aby wszystkie hasła administratora używały znaków ALT z zakresu 0128-0159. (Znaki ALT spoza tego zakresu mogą reprezentować standardowe znaki alfanumeryczne, które nie zwiększają złożoności hasła.)
Zobacz też
Polityka haseł