- 1/22/2021
- 5 minutter at læse
-
- D
- g
- R
- j
- d
-
+6
Gælder for
- Windows 10
Beskriver de bedste fremgangsmåder, placering, værdier og sikkerhedsovervejelser for adgangskoden skal opfylde kompleksitetskravene sikkerhedspolitisk indstilling.
Reference
Adgangskoderne skal opfylde kompleksitetskrav politikindstilling bestemmer, om adgangskoder skal overholde en række retningslinjer med stærk adgangskode. Når denne indstilling er aktiveret, kræver adgangskoder, at de opfylder følgende krav:
-
Adgangskoder indeholder muligvis ikke brugerens samAccountName-værdi (Kontonavn) eller hele displaynavn (Full Name-værdi). kontrol er ikke store og små bogstaver.
SamAccountName kontrolleres kun i sin helhed for at afgøre, om det er en del af adgangskoden. Hvis samAccountName er mindre end tre tegn, springes denne check over. Displaynavnet er parset til afgrænsning: kommaer, punktum, bindestreger eller bindestreger, understregninger, mellemrum, pundtegn og faner. Hvis nogen af disse afgrænsninger findes, er displaynavnet opdelt, og alle parsede sektioner (tokens) er bekræftet for ikke at være inkluderet i adgangskoden Tokens, der er kortere end tre tegn, ignoreres, og undertegnelser af tokens kontrolleres ikke. F.eks. Er navnet “Erin M. Hagens” opdelt i tre tokens: “Erin”, “M” og “Havens”. Da det andet token kun er et tegn langt, ignoreres det. Derfor kunne denne bruger n ikke have en adgangskode, der enten indeholdt “erin” eller “tilflugtssteder” som en substring hvor som helst i adgangskoden.
-
Adgangskoden indeholder tegn fra tre af følgende kategorier:
- Store bogstaver i europæiske sprog (A til Z, med diakritiske tegn, græske og kyrilliske tegn)
- Små bogstaver i europæiske sprog (a til z, skarpe-s, med diakritiske tegn , Græske og kyrilliske tegn)
- Basis 10 cifre (0 til 9)
- Ikke-alfanumeriske tegn (specialtegn) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; “” < >,.? /) Valutasymboler såsom euro eller britisk pund tælles ikke som specialtegn for denne politikindstilling.
- Ethvert Unicode-tegn, der er kategoriseret som et alfabetisk tegn, men ikke er stort eller små bogstaver. Denne gruppe inkluderer Unicode-tegn fra asiatiske sprog.
Krav om kompleksitet håndhæves, når adgangskoder ændres eller oprettes.
De regler, der er inkluderet i Windows Server-adgangskodekompleksitetskravene er en del af Passfilt.dll, og de kan ikke ændres direkte.
Når det er aktiveret, kan standard Passfilt.dll medføre yderligere Help Desk-opkald til låste konti, fordi brugere er ikke vant til adgangskoder, der indeholder tegn, der ikke er i alfabetet. Men denne politikindstilling er liberal nok til, at alle brugere skal vænne sig til den.
Yderligere indstillinger, der kan inkluderes i en brugerdefineret Passfilt.dll, er brugen af ikke-øverste række tegn. For at skrive tegn i øverste række skal du holde SHIFT-tasten nede og trykke på en af tasterne på nummerrækken på tastaturet (fra 1 til 9 og 0).
Mulige værdier
- Aktiveret
- Deaktiveret
- Ikke defineret
Bedste fremgangsmåder
Tip
Se Vejledning til adgangskode for at få de nyeste bedste fremgangsmåder.
Indstil adgangskoder skal opfylde kompleksitetskravene til Aktiveret. Denne politikindstilling kombineret med en minimum adgangskodelængde på 8 sikrer, at der er mindst 218.340.105.584.896 forskellige muligheder for en enkelt adgangskode. Denne indstilling gør et brutalt kraftangreb vanskeligt, men stadig ikke umuligt.
Brug af ALT-nøglekarakterkombinationer kan i høj grad forbedre en adgangskodes kompleksitet. At kræve, at alle brugere i en organisation overholder sådanne strenge adgangskodekrav, kan dog resultere i utilfredse brugere og en overarbejdet Help Desk. Overvej at implementere et krav i din organisation om at bruge ALT-tegn i området fra 0128 til 0159 som en del af alle administratoradgangskoder. (ALT-tegn uden for dette interval kan repræsentere alfanumeriske standardtegn, der ikke tilføjer adgangskoden yderligere.)
Adgangskoder, der kun indeholder alfanumeriske tegn, er lette at kompromittere ved hjælp af offentligt tilgængelige værktøjer. For at forhindre dette skal adgangskoder indeholde yderligere tegn og opfylde kompleksitetskravene.
Placering
Computerkonfiguration \ Windows-indstillinger \ Sikkerhedsindstillinger \ Kontopolitikker \ Adgangskodepolitik
Standardværdier
Følgende tabel viser faktiske og effektive standardværdier. Standardværdier er også angivet på politikens ejendomsside.
Servertype eller gruppepolitik Objekt (GPO) | Standardværdi |
---|---|
Standarddomæne politik | Aktiveret |
Standard domæne controller politik | Aktiveret |
Stand-alone server standardindstillinger | Deaktiveret |
Domæne controller effektive standardindstillinger | Aktiveret |
Medlemsserver effektive standardindstillinger | Aktiveret |
Effektive GPO-standardindstillinger på klientcomputere | Deaktiveret |
Sikkerhedsovervejelser
Dette afsnit beskriver, hvordan en angriber kan udnytte en funktion eller dens konfiguration, hvordan modforanstaltninger implementeres og de mulige negative konsekvenser af implementering af modforanstaltning.
Sårbarhed
Adgangskoder, der kun indeholder alfanumeriske tegn, er ekstremt lette at finde med flere offentligt tilgængelige værktøjer.
Modforanstaltning
Konfigurer adgangskoder skal opfylde politikindstilling for kompleksitetskrav til Aktiveret og rådes brugere til at bruge en række tegn i deres adgangskoder.
Når det kombineres med en minimum adgangskodelængde på 8, sikrer denne politikindstilling, at antallet af forskellige muligheder for en enkelt adgangskode er så stor, at det er vanskeligt (men ikke umuligt) for et brutalt kraftangreb at lykkes. (Hvis politikindstillingen Minimum adgangskodelængde øges, øges også den gennemsnitlige tid, der er nødvendig for et vellykket angreb.)
Potentiel indvirkning
Hvis standardkonfigurationen for adgangskodekompleksitet bevares, yderligere Help Desk-opkald til låste konti kan forekomme, fordi brugerne muligvis ikke er vant til adgangskoder, der indeholder ikke-alfabetiske tegn, eller de kan have problemer med at indtaste adgangskoder, der indeholder tegn med accent eller symboler på tastaturer med forskellige layout. Dog bør alle brugere være i stand til at overholde kompleksitetskravet med minimale vanskeligheder.
Hvis din organisation har strengere sikkerhedskrav, kan du oprette en brugerdefineret version af Passfilt.dll-filen, der tillader brug af vilkårligt komplekse regler for adgangskodestyrke. For eksempel kan et brugerdefineret adgangskodefilter muligvis kræve brug af ikke-øverste række-symboler. (Symboler i øverste række er dem, der kræver, at du holder SHIFT-tasten nede og derefter trykker på en af tasterne på nummerrækken på tastaturet, fra 1 til 9 og 0.) Et brugerdefineret adgangskodefilter kan muligvis også udføre en ordbogskontrol for at kontrollere, at den foreslåede adgangskode ikke indeholder almindelige ordbogord eller fragmenter.
Brug af ALT-nøglekarakterkombinationer kan i høj grad øge kompleksiteten af en adgangskode. Sådanne strenge adgangskodekrav kan dog resultere i yderligere Help Desk-anmodninger. Alternativt kan din organisation overveje et krav om, at alle administratoradgangskoder skal bruge ALT-tegn i området 0128–0159. (ALT-tegn uden for dette interval kan repræsentere alfanumeriske standardtegn, der ikke tilføjer ekstra kompleksitet til adgangskoden.)
- Adgangskodepolitik