Good Mood

• 11/27/2017
• 5 minute pentru a citi

se Aplică Pentru a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Această politică de securitate de referință subiect pentru EA profesionale descrie cele mai bune practici, localizarea, valori, și considerente de securitate pentru această setare de politică.,

referință

parolele trebuie să îndeplinească cerințele de complexitate setarea politicii determină dacă parolele trebuie să îndeplinească o serie de linii directoare care sunt considerate importante pentru o parolă puternică. Activarea acestei setări de politică necesită ca parolele să îndeplinească următoarele cerințe:

1. parolele pot să nu conțină valoarea samAccountName (numele contului) a utilizatorului sau întreaga displayName (valoarea numelui complet). Ambele verificări nu sunt sensibile la majuscule.

   samAccountName este verificat în întregime numai pentru a determina dacă face parte din parolă., Dacă samAccountName are mai puțin de trei caractere, această verificare este omisă.

   numele afișajului este analizat pentru delimitatori: virgule, perioade, liniuțe sau cratime, sublinieri, spații, semne de lire și file. Dacă se găsește oricare dintre acești delimitatori, numele afișajului este împărțit și toate secțiunile analizate (token-uri) sunt confirmate că nu sunt incluse în parolă. Jetoanele care au mai puțin de trei caractere sunt ignorate, iar substringurile jetoanelor nu sunt verificate. De exemplu, numele „Erin M. Hagens” este împărțit în trei jetoane: „Erin”, „M” și „Hagens”., Deoarece al doilea simbol este doar un caracter lung, este ignorat. Prin urmare, acest utilizator nu a putut avea o parolă care să includă fie „erin”, fie „hagens” ca subșir oriunde în parolă.,

2. parola conține caractere de la trei din următoarele categorii:

   • Majuscule de limbi Europene (de la a la Z, cu semne diacritice, greacă și caractere Chirilice)

   • litere Mici de limbi Europene (de la a la z, ascuțite-s, cu semne diacritice, greacă și caractere Chirilice)

   • Baza 10 cifre (de la 0 la 9)

   • Nonalphanumeric caractere: ~!@#$%^&*_-+=`|(){}:;”‘<>,.?,/

   • orice caracter Unicode care este clasificat ca un caracter alfabetic, dar nu este majuscule sau minuscule. Aceasta include caractere Unicode din limbile asiatice.

cerințele de complexitate sunt aplicate atunci când parolele sunt modificate sau create.

regulile care sunt incluse în cerințele de complexitate a parolei serverului Windows fac parte din Passfilt.dll, și nu pot fi modificate direct.

activarea Passfilt implicit.,dll poate provoca unele apeluri suplimentare de asistență pentru conturile blocate, deoarece este posibil ca utilizatorii să nu fie obișnuiți să aibă parole care conțin alte caractere decât cele găsite în alfabet. Cu toate acestea, această setare de politică este suficient de liberală încât toți utilizatorii ar trebui să poată respecta cerințele cu o curbă de învățare minoră.setări suplimentare care pot fi incluse într-un Passfilt personalizat.dll sunt utilizarea de caractere non-superior rând. Caracterele din rândul superior sunt cele care sunt tastate ținând apăsată tasta SHIFT și tastând oricare dintre cifrele de la 1 la 10.,această setare de politică este acceptată pentru versiunile de Windows care sunt desemnate în lista se aplică la începutul acestui subiect.

valorile Posibile

• Activat

• Dezactivat

• Nu este definit

cele mai Bune practici

Setați Parolele trebuie să îndeplinească cerințele de complexitate a Activat. Această setare de politică, combinată cu o lungime minimă a parolei de 8, asigură că există cel puțin 218,340,105,584,896 posibilități diferite pentru o singură parolă. Acest lucru face ca un atac de forță brută să fie dificil, dar încă nu imposibil.,utilizarea combinațiilor de caractere ALT poate spori foarte mult complexitatea unei parole. Cu toate acestea, solicitarea tuturor utilizatorilor dintr-o organizație de a adera la astfel de cerințe stricte de parolă poate duce la utilizatori nefericiți și la un birou de ajutor extrem de ocupat. Luați în considerare implementarea unei cerințe în organizația dvs. de a utiliza caractere ALT în intervalul 0128-0159 ca parte a tuturor parolelor de administrator. (Caracterele ALT din afara acestui interval pot reprezenta caractere alfanumerice standard care nu adaugă complexitate suplimentară parolei.,parolele care conțin doar caractere alfanumerice sunt ușor de compromis prin utilizarea instrumentelor disponibile public. Pentru a preveni acest lucru, parolele trebuie să conțină caractere suplimentare și să îndeplinească cerințele de complexitate.

Localizare

GPO_name \Computer Configuration\Windows Settings\Security Settings\Cont de Politicile\Parola Politică

valori Implicite

următorul tabel listează efectivă și eficientă default politica de valori pentru cele mai recente versiuni de Windows. Valorile implicite sunt, de asemenea, listate pe pagina proprietății politicii.,r>

Default domain controller politica Activat Stand-alone server setările implicite Dezactivat controler de Domeniu eficiente setările implicite Activat

server Membru eficient setările implicite Activat Eficient GPO setările implicite pe computerele client Dezactivat

versiunea sistemului de Operare diferențe

nu Există diferențe în modul în care această setare de politică funcționează între versiunile de Windows.,

Securitate

Această secțiune descrie modul în care un atacator ar putea exploata o caracteristică sau de configurare, cum să pună în aplicare contraacțiune, și posibilele consecințe negative de contraacțiune aplicare.

vulnerabilitate

parolele care conțin doar caractere alfanumerice sunt extrem de ușor de descoperit cu mai multe instrumente disponibile public.

contramăsură

Configurarea parolelor trebuie să îndeplinească cerințele de complexitate setarea politicii la Activat și sfătui utilizatorii să utilizeze o varietate de caractere în parolele lor.,când este combinată cu o lungime minimă a parolei de 8, Această setare de politică asigură că numărul de posibilități diferite pentru o singură parolă este atât de mare încât este dificil (dar nu imposibil) ca un atac de forță brută să reușească. (Dacă setarea minimă a politicii de lungime a parolei este mărită, crește și timpul mediu necesar pentru un atac reușit.,)

impactul Potențial

Dacă parola implicită complexitatea de configurare este reținut, de Ajutor suplimentar Birou solicită blocat conturile ar putea avea loc, deoarece utilizatorii ar putea să nu fie obișnuiți să parole care conțin non-caractere alfabetice, sau ar putea avea probleme cu intrarea parole care conțin diacritice sau simboluri pe tastaturi cu diferite aspecte. Cu toate acestea, toți utilizatorii ar trebui să poată respecta cerința de complexitate cu o dificultate minimă.dacă organizația dvs. are cerințe de securitate mai stricte, puteți crea o versiune personalizată a Passfilt.,fișier dll care permite utilizarea unor reguli arbitrar complexe puterea parolei. De exemplu, un filtru de parolă personalizat poate necesita utilizarea simbolurilor care nu aparțin rândului superior. (Simbolurile din rândul superior sunt cele care necesită să apăsați și să mențineți apăsată tasta SHIFT și apoi să apăsați oricare dintre cifrele între 1 și 0.) Un filtru de parolă personalizat poate efectua, de asemenea, o verificare a dicționarului pentru a verifica dacă parola propusă nu conține cuvinte sau fragmente de dicționar comune.utilizarea combinațiilor de caractere ALT poate spori foarte mult complexitatea unei parole., Cu toate acestea, astfel de cerințe stricte de parolă pot duce la solicitări suplimentare de asistență. În mod alternativ, organizația dvs. ar putea lua în considerare o cerință ca toate parolele de administrator să utilizeze caractere ALT în intervalul 0128-0159. (Caracterele ALT din afara acestui interval pot reprezenta caractere alfanumerice standard care nu ar adăuga complexitate suplimentară parolei.)

A se vedea, de asemenea,

Politica de parole