- 11/27/2017
- 5 minutos para ler
Aplica-se A: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, O Windows 8
Esta diretiva de segurança tópico de referência para o profissional de TI, descreve as melhores práticas, localização, valores e considerações de segurança para esta configuração de diretiva.,
referência
As senhas devem satisfazer os requisitos de complexidade política determina se as senhas devem cumprir uma série de orientações que são consideradas importantes para uma senha forte. Se activar esta política, as senhas deverão satisfazer os seguintes requisitos:
-
As senhas poderão não conter o valor do samAccountName (nome da Conta) do utilizador ou o displayName inteiro (VALOR do nome completo). Ambos os controlos não são sensíveis a maiúsculas e minúsculas.
o samAccountName é verificado na sua totalidade apenas para determinar se faz parte da senha., Se o samAccountName tiver menos de três caracteres de comprimento, esta opção é ignorada.
o nome do ‘displayName’ é processado para delimitadores: vírgulas, períodos, traços ou hífens, sublinhados, espaços, sinais de libra e tabulações. Se algum desses delimitadores for encontrado, o displayName é dividido e todas as seções processadas (tokens) são confirmadas como não sendo incluídas na senha. Tokens que são menos de três caracteres são ignorados, e substrings dos tokens não são verificados. Por exemplo, o nome “Erin M. Hagens” é dividido em três fichas: “Erin”, “M” e “Hagens”., Porque o segundo símbolo é apenas um caráter longo, ele é ignorado. Portanto, este usuário não poderia ter uma senha que incluísse “erin” ou “hagens” como uma substring em qualquer lugar da senha.,
-
A palavra-passe contém caracteres de três dos seguintes categorias:
-
letras Maiúsculas das línguas Europeias (de A A Z, com sinais diacríticos, grego e caracteres Cirílicos)
-
letras Minúsculas das línguas Europeias (de a a z, sharp-s, com sinais diacríticos, grego e caracteres Cirílicos)
-
Base de 10 dígitos (0 a 9)
-
não-alfanuméricos caracteres: ~!@#$%^&*_-+=`|(){}:;”‘<>.?,/
-
qualquer carácter Unicode que seja categorizado como um carácter alfabético mas não seja maiúsculo ou minúsculo. Isto inclui caracteres Unicode de línguas asiáticas.
-
os requisitos de complexidade são aplicados quando as senhas são alteradas ou criadas.
as regras que estão incluídas nos requisitos de complexidade de senha do Windows Server fazem parte do Passfilt.dll, e eles não podem ser modificados diretamente.
activar o filtro de passagem por omissão.,dll pode causar algumas chamadas adicionais de Help Desk para contas bloqueadas porque os usuários podem não ser usados para ter senhas que contêm caracteres diferentes dos encontrados no alfabeto. No entanto, esta definição de política é suficientemente liberal para que todos os utilizadores possam cumprir os requisitos com uma pequena curva de aprendizagem.
configurações adicionais que podem ser incluídas num filtro personalizado.dll são o uso de caracteres não de fila superior. Caracteres de fila superior são aqueles que são digitados segurando a tecla SHIFT e digitando qualquer um dos dígitos de 1 a 10.,
Esta definição de política é suportada nas versões das janelas que são designadas na lista Aplica-se no início deste tópico.
valores Possíveis
-
Habilitado
-
Desativada
-
Não definida
as Melhores práticas
Definir senha deve satisfazer a requisitos de complexidade para Habilitado. Esta definição de política, combinada com um comprimento mínimo de senha de 8, garante que existem pelo menos 218,340,105,584,896 diferentes possibilidades para uma única senha. Isso torna um ataque de Força bruta difícil, mas ainda não impossível.,
o uso de combinações de caracteres de chave ALT pode aumentar muito a complexidade de uma senha. No entanto, exigir que todos os usuários de uma organização adiram a tais rigorosos requisitos de senha pode resultar em usuários infelizes e um serviço de Ajuda extremamente ocupado. Considere a implementação de um requisito na sua organização para usar caracteres ALT na gama de 0128 a 0159 como parte de todas as senhas de administrador. (Alt characters outside of this range can represent standard alfanumeric characters that do not add additional complexity to the password.,)
senhas que contêm apenas caracteres alfanuméricos são fáceis de comprometer usando ferramentas publicamente disponíveis. Para evitar isso, as senhas devem conter caracteres adicionais e atender aos requisitos de complexidade.
localização
GPO_name \configuração do computador\configuração do Windows\configuração da Segurança\Políticas de contas\Política de senha
valores por omissão
a tabela seguinte lista os valores por omissão reais e efectivos para as versões suportadas mais recentes do Windows. Os valores padrão também estão listados na página de propriedade da política.,r>
versão de sistema Operacional diferenças
não Existem diferenças na forma como esta definição de política funciona entre as versões suportadas do Windows.,
considerações de segurança
Esta secção descreve como um atacante pode explorar uma característica ou sua configuração, como implementar a contramedida, e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Senhas que contêm apenas caracteres alfanuméricos são extremamente fáceis de descobrir com várias ferramentas disponíveis publicamente.
contramedidas
configurar as senhas devem cumprir a Política de requisitos de complexidade para habilitar e aconselhar os utilizadores a usar uma variedade de caracteres nas suas senhas.,
Quando combinado com um comprimento mínimo de senha de 8, Esta definição de política garante que o número de diferentes possibilidades para uma única senha é tão grande que é difícil (mas não impossível) para um ataque de Força bruta ter sucesso. (Se a definição mínima de duração da senha é aumentada, a quantidade média de tempo necessário para um ataque bem sucedido também aumenta.,)
potencial impacto
Se a configuração por omissão da complexidade da senha for mantida, poderão ocorrer chamadas adicionais de Help Desk para contas bloqueadas porque os utilizadores podem não estar habituados a senhas que contenham caracteres não-alfabéticos, ou poderão ter problemas em introduzir senhas que contenham caracteres ou símbolos acentuados nos teclados com diferentes disposições. No entanto, todos os utilizadores devem ser capazes de cumprir o requisito de complexidade com dificuldade mínima.
Se a sua organização tem requisitos de segurança mais rigorosos, você pode criar uma versão personalizada do Passfilt.,DLL file que permite o uso de regras arbitrariamente complexas de Resistência a senha. Por exemplo, um filtro de senha personalizado pode exigir o uso de símbolos não-de-linha superior. (Símbolos de fila superior são aqueles que requerem que você Pressione e segure a tecla SHIFT e, em seguida, pressione qualquer um dos dígitos entre 1 e 0. Um filtro de senha personalizado também pode realizar uma verificação de dicionário para verificar se a senha proposta não contém palavras comuns de dicionário ou fragmentos.
o uso de combinações de caracteres de chave ALT pode aumentar muito a complexidade de uma senha., No entanto, tais rigorosos requisitos de senha podem resultar em pedidos adicionais de Help Desk. Em alternativa, a sua organização pode considerar um requisito para que todas as senhas do administrador usem caracteres ALT no intervalo 0128-0159. (Alt characters outside of this range can represent standard alfanumeric characters that would not add additional complexity to the password.)
Ver também
Política de senha
