Heslo musí splňovat požadavky na složitost

  • 1/22/2021
  • 5 minut na čtení
    • D
    • g
    • R
    • j
    • d
    • +6

Platí pro

  • Windows 10

Popisuje osvědčené postupy, umístění, hodnoty a bezpečnostní aspekty pro Heslo, které musí splňovat nastavení zásad zabezpečení požadavků na složitost.

Odkaz

Nastavení zásad Hesla musí splňovat nastavení zásad určuje, zda hesla musí splňovat řadu pokynů pro silné heslo. Je-li povoleno, toto nastavení vyžaduje hesla, aby splňoval následující požadavky:

  1. Hesla nemusí obsahovat hodnotu samAccountName (název účtu) uživatele ani celý displayName (hodnota celého jména). kontroly nerozlišují velká a malá písmena.

    SamAccountName se kontroluje jako celek pouze za účelem zjištění, zda je součástí hesla. Pokud je samAccountName dlouhý méně než tři znaky, je tato kontrola přeskočena. analyzováno pro oddělovače: čárky, tečky, pomlčky nebo pomlčky, podtržítka, mezery, znaky libry a záložky. Pokud se některý z těchto oddělovačů najde, displayName se rozdělí a potvrdí se, že všechny analyzované sekce (tokeny) nebudou zahrnuty do hesla . Tokeny, které mají méně než tři znaky, jsou ignorovány a podřetězce tokenů nejsou kontrolovány. Například název „Erin M. Hagens“ je rozdělen na tři tokeny: „Erin“, „M“ a „Havens“. Protože druhý token má pouze jeden znak, je ignorován. Proto by tento uživatel mohl n Nemáte heslo, které by jako podřetězec kdekoli v hesle obsahovalo buď „erin“, nebo „ráj“.

  2. Heslo obsahuje znaky ze tří z následujících kategorií:

    • Velká písmena evropských jazyků (A až Z, s diakritikou, řecké a cyrilice)
    • Malá písmena evropských jazyků (a až z, ostré s, s diakritikou , Řecké a cyrilice)
    • Základní 10 číslic (0 až 9)
    • Nealfanumerické znaky (speciální znaky) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; „“ < >,.? /) Symboly měny, jako je Euro nebo Britská libra, se pro toto nastavení zásad nepočítají jako speciální znaky.
    • Libovolný znak Unicode, který je kategorizován jako abecední znak, ale není velká ani malá. Tato skupina zahrnuje znaky Unicode z asijských jazyků.

Při změně nebo vytváření hesel jsou vynuceny požadavky na složitost.

Pravidla, která jsou zahrnuté v požadavcích na složitost hesla systému Windows Server jsou součástí Passfilt.dll a nelze je přímo upravovat.

Je-li tato možnost povolena, může výchozí Passfilt.dll způsobit další volání Help Desk pro uzamčené účty, protože uživatelé nejsou zvyklí na hesla, která obsahují znaky, které nejsou v abecedě. Toto nastavení zásad je ale natolik liberální, že by si na něj měli všichni uživatelé zvyknout.

Další nastavení, která lze zahrnout do vlastního Passfilt.dll, jsou použití znaků, které nejsou z horního řádku. Chcete-li psát znaky v horním řádku, podržte klávesu SHIFT a stiskněte jednu z kláves na číselné řadě klávesnice (od 1 do 9 a 0).

Možné hodnoty

  • Povoleno
  • Zakázáno
  • Nedefinováno

Doporučené postupy

Tip

Nejnovější osvědčené postupy najdete v části Pokyny k heslům.

Nastavit hesla musí splňovat požadavky na složitost na hodnotu Povoleno. Toto nastavení zásad v kombinaci s minimální délkou hesla 8 zajišťuje, že pro jedno heslo existuje alespoň 218 340 105 584 896 různých možností. Toto nastavení ztěžuje útok hrubou silou, ale stále není nemožné.

Použití kombinací kláves ALT může výrazně zvýšit složitost hesla. Požadavek, aby všichni uživatelé v organizaci dodržovali takové přísné požadavky na heslo, však může mít za následek nešťastné uživatele a přepracovanou technickou podporu. Zvažte implementaci požadavku, aby vaše organizace používala ALT znaky v rozsahu od 0128 do 0159 jako součást všech hesel správce. (Znaky ALT mimo tento rozsah mohou představovat standardní alfanumerické znaky, které heslu nepřidávají další složitost.)

Hesla, která obsahují pouze alfanumerické znaky, lze snadno kompromitovat pomocí veřejně dostupných nástrojů. Aby se tomu zabránilo, měla by hesla obsahovat další znaky a splňovat požadavky na složitost.

Umístění

Konfigurace počítače \ Nastavení Windows \ Nastavení zabezpečení \ Zásady účtu \ Zásady hesla

Výchozí hodnoty

V následující tabulce je uveden seznam skutečné a efektivní výchozí hodnoty zásad. Výchozí hodnoty jsou také uvedeny na stránce vlastností zásad.

Typ serveru nebo zásady skupiny Objekt (GPO) Výchozí hodnota
Výchozí zásady domény Povoleno
Výchozí zásady řadiče domény Povoleno
Výchozí nastavení samostatného serveru Zakázáno
Výchozí nastavení efektivního řadiče domény Povoleno
Efektivní výchozí nastavení členského serveru Povoleno
Efektivní výchozí nastavení GPO na klientských počítačích Zakázáno

Bezpečnostní aspekty

Tato část popisuje, jak by mohl útočník využít funkci nebo její konfiguraci, jak implementovat protiopatření a možné negativní důsledky implementace protiopatření.

Zranitelnost

Hesla, která obsahují pouze alfanumerické znaky, lze snadno zjistit pomocí několika veřejně dostupných nástrojů.

Protiopatření

Konfigurace hesel musí splňovat nastavení zásad požadavků na složitost na Povoleno a doporučit uživatelům, aby ve svých heslech používali různé znaky.

V kombinaci s minimální délkou hesla 8 toto nastavení zásad zajišťuje, že počet různých možností pro jedno heslo je tak velký, že je těžké (ale ne nemožné) uspět útokem hrubou silou. (Pokud se zvýší nastavení zásady minimální délky hesla, zvýší se také průměrná doba potřebná pro úspěšný útok.)

Potenciální dopad

Pokud je zachována výchozí konfigurace složitosti hesla, Mohou nastat další volání podpory pro uzamčené účty, protože uživatelé nemusí být zvyklí na hesla, která obsahují jiné než abecední znaky, nebo mohou mít problémy se zadáváním hesel, která obsahují znaky s diakritikou nebo symboly na klávesnicích s jiným rozložením. Všichni uživatelé by však měli být schopni splnit požadavek složitosti s minimálními obtížemi.

Pokud má vaše organizace přísnější požadavky na zabezpečení, můžete vytvořit vlastní verzi souboru Passfilt.dll, která umožňuje použití libovolně složitá pravidla síly hesla. Například vlastní filtr hesla může vyžadovat použití symbolů jiných než horních řádků. (Symboly v horním řádku jsou ty, které vyžadují, abyste stiskli a podrželi klávesu SHIFT a poté stiskněte kteroukoli z kláves na číselné řadě na klávesnici, od 1 do 9 a 0.) Vlastní filtr hesel může také provést kontrolu slovníku ověřit, že navrhované heslo neobsahuje běžná slovní slova nebo fragmenty.

Použití kombinací kláves ALT může výrazně zvýšit složitost hesla. Takové přísné požadavky na heslo však mohou mít za následek další požadavky technické podpory. Alternativně může vaše organizace zvážit požadavek, aby všechna hesla správce používala znaky ALT v rozsahu 0128–0159. (Znaky ALT mimo tento rozsah mohou představovat standardní alfanumerické znaky, které by heslu nepřidaly další složitost.)

  • Zásady hesla

Write a Comment

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *