- 11/27/2017
- 5 minuter att läsa
gäller för: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
det här säkerhetspolitiska referensämnet för IT-professionella beskriver bästa praxis, plats, värden och säkerhetshänsyn för den här policyinställningen.,
referens
lösenorden måste uppfylla komplexitetskraven policyinställningen avgör om lösenord måste uppfylla en rad riktlinjer som anses viktiga för ett starkt lösenord. För att aktivera den här policyinställningen krävs att lösenord uppfyller följande krav:
-
lösenord kanske inte innehåller användarens samaccountname (kontonamn) värde eller hela displayName (fullständigt Namnvärde). Båda kontrollerna är inte skiftlägeskänsliga.
samAccountName kontrolleras i sin helhet endast för att avgöra om det är en del av lösenordet., Om samaccountname är mindre än tre tecken långt hoppas den här kontrollen över.
displayName tolkas för avgränsare: kommatecken, perioder, bindestreck eller bindestreck, understreck, mellanslag, pundskyltar och flikar. Om någon av dessa avgränsare hittas delas visningsnamnet och alla tolkade sektioner (tokens) bekräftas att de inte ingår i lösenordet. Tokens som är mindre än tre tecken ignoreras, och substrings av tokens kontrolleras inte. Till exempel är namnet ”Erin M. Hagens” uppdelat i tre tokens: ”Erin”, ”M” och ”Hagens”., Eftersom den andra token bara är ett tecken långt, ignoreras det. Därför kunde den här användaren inte ha ett lösenord som innehöll antingen ”erin” eller ”hagens” som en substring var som helst i lösenordet.,
-
lösenordet innehåller tecken från tre av följande kategorier:
-
stora bokstäver i europeiska språk (a till Z, med diakritiska märken, grekiska och kyrilliska tecken)
-
små bokstäver i europeiska språk (a till z, sharp-s, med diakritiska märken, grekiska och cyrilliska tecken)
-
bas 10 siffror (0 till 9)
-
nonalfanumeriska tecken: ~!@#$%^&*_-+=`|(){}:;”’<>,.?,/
-
alla Unicode-tecken som kategoriseras som ett alfabetiskt tecken men inte versaler eller gemener. Detta inkluderar Unicode-tecken från asiatiska språk.
-
Komplexitetskrav verkställs när lösenord ändras eller skapas.
de regler som ingår i kraven på komplexitet för lösenord för Windows Server är en del av Passfilt.dll, och de kan inte ändras direkt.
Aktivera Standardpassfilt.,dll kan orsaka några ytterligare helpdesk-samtal för låsta konton eftersom användare kanske inte används för att ha lösenord som innehåller andra tecken än de som finns i alfabetet. Denna politiska inställning är dock tillräckligt liberal för att alla användare ska kunna följa kraven med en mindre inlärningskurva.
ytterligare inställningar som kan inkluderas i en anpassad Passfilt.dll är användningen av icke-övre raden tecken. Övre raden tecken är de som skrivs genom att hålla ned SHIFT-tangenten och skriva någon av siffrorna från 1 till 10.,
den här policyinställningen stöds på versioner av Windows som anges i listan gäller för i början av detta ämne.
möjliga värden
-
aktiverad
-
inaktiverad
-
inte definierad
bästa praxis
Ange lösenord måste uppfylla komplexitetskraven för att aktiveras. Den här policyinställningen, i kombination med en minsta lösenordslängd på 8, säkerställer att det finns minst 218,340,105,584,896 olika möjligheter för ett enda lösenord. Detta gör en brute force attack svår, men fortfarande inte omöjlig.,
användningen av ALT-tangentkombinationer kan avsevärt öka komplexiteten i ett lösenord. Men kräver alla användare i en organisation att följa sådana stränga krav lösenord kan resultera i olyckliga användare och en extremt upptagen helpdesk. Överväg att implementera ett krav i organisationen att använda ALT-tecken i intervallet 0128 till 0159 som en del av alla administratörslösenord. (ALT-tecken utanför detta intervall kan representera vanliga alfanumeriska tecken som inte lägger till ytterligare komplexitet i lösenordet.,)
lösenord som endast innehåller alfanumeriska tecken är lätta att kompromissa med genom att använda allmänt tillgängliga verktyg. För att förhindra detta bör lösenord innehålla ytterligare tecken och uppfylla komplexitetskraven.
plats
Gpo_name \Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
standardvärden
Följande tabell visar de faktiska och effektiva standardprincipvärdena för de senaste versionerna av Windows som stöds. Standardvärden visas också på policyens egenskapssida.,standard domänkontrollant policy
skillnader i operativsystemversion
det finns inga skillnader i hur den här policyinställningen fungerar mellan versioner av Windows som stöds.,
säkerhetsöverväganden
det här avsnittet beskriver hur en angripare kan utnyttja en funktion eller dess konfiguration, hur man implementerar motåtgärden och eventuella negativa konsekvenser av motåtgärdsimplementering.
sårbarhet
lösenord som endast innehåller alfanumeriska tecken är extremt lätta att upptäcka med flera allmänt tillgängliga verktyg.
motåtgärd
konfigurera lösenorden måste uppfylla komplexitetskraven för att aktivera och ge användarna råd att använda en mängd olika tecken i sina lösenord.,
När det kombineras med en minsta lösenordslängd på 8, säkerställer denna policyinställning att antalet olika möjligheter till ett enda lösenord är så stort att det är svårt (men inte omöjligt) för en brute force attack att lyckas. (Om den minsta lösenordslängdsinställningen ökas ökar också den genomsnittliga tid som krävs för en lyckad attack.,)
potentiell påverkan
om standardkonfigurationen för lösenordskomplexitet behålls kan ytterligare Hjälpskrivbordssamtal för låsta konton uppstå eftersom användare kanske inte är vana vid lösenord som innehåller icke-alfabetiska tecken, eller de kan ha problem med att ange lösenord som innehåller accentuerade tecken eller symboler på tangentbord med olika layouter. Alla användare bör dock kunna uppfylla komplexitetskravet med minimal svårighet.
om din organisation har strängare säkerhetskrav kan du skapa en anpassad version av Passfilt.,dll-fil som tillåter användning av godtyckligt komplexa regler för lösenordsstyrka. Till exempel kan ett anpassat lösenordsfilter kräva användning av symboler som inte är Övre raden. (Övre raden symboler är de som kräver att du trycker och håller ned SHIFT-tangenten och trycker sedan på någon av siffrorna mellan 1 och 0.) Ett anpassat lösenordsfilter kan också utföra en ordbokskontroll för att verifiera att det föreslagna lösenordet inte innehåller vanliga ordlistor eller fragment.
användningen av ALT-tangentkombinationer kan avsevärt öka komplexiteten i ett lösenord., Sådana stränga lösenord krav kan dock resultera i ytterligare Help Desk förfrågningar. Alternativt kan din organisation överväga ett krav på att alla administratörslösenord ska använda ALT-tecken i intervallet 0128-0159. (ALT-tecken utanför detta intervall kan representera vanliga alfanumeriska tecken som inte skulle lägga till ytterligare komplexitet i lösenordet.)
Se även
lösenordspolicy