Adgangskode skal opfylde kompleksitetskrav

  • 1/22/2021
  • 5 minutter at læse
    • D
    • g
    • R
    • j
    • d
    • +6

Gælder for

  • Windows 10

Beskriver de bedste fremgangsmåder, placering, værdier og sikkerhedsovervejelser for adgangskoden skal opfylde kompleksitetskravene sikkerhedspolitisk indstilling.

Reference

Adgangskoderne skal opfylde kompleksitetskrav politikindstilling bestemmer, om adgangskoder skal overholde en række retningslinjer med stærk adgangskode. Når denne indstilling er aktiveret, kræver adgangskoder, at de opfylder følgende krav:

  1. Adgangskoder indeholder muligvis ikke brugerens samAccountName-værdi (Kontonavn) eller hele displaynavn (Full Name-værdi). kontrol er ikke store og små bogstaver.

    SamAccountName kontrolleres kun i sin helhed for at afgøre, om det er en del af adgangskoden. Hvis samAccountName er mindre end tre tegn, springes denne check over. Displaynavnet er parset til afgrænsning: kommaer, punktum, bindestreger eller bindestreger, understregninger, mellemrum, pundtegn og faner. Hvis nogen af disse afgrænsninger findes, er displaynavnet opdelt, og alle parsede sektioner (tokens) er bekræftet for ikke at være inkluderet i adgangskoden Tokens, der er kortere end tre tegn, ignoreres, og undertegnelser af tokens kontrolleres ikke. F.eks. Er navnet “Erin M. Hagens” opdelt i tre tokens: “Erin”, “M” og “Havens”. Da det andet token kun er et tegn langt, ignoreres det. Derfor kunne denne bruger n ikke have en adgangskode, der enten indeholdt “erin” eller “tilflugtssteder” som en substring hvor som helst i adgangskoden.

  2. Adgangskoden indeholder tegn fra tre af følgende kategorier:

    • Store bogstaver i europæiske sprog (A til Z, med diakritiske tegn, græske og kyrilliske tegn)
    • Små bogstaver i europæiske sprog (a til z, skarpe-s, med diakritiske tegn , Græske og kyrilliske tegn)
    • Basis 10 cifre (0 til 9)
    • Ikke-alfanumeriske tegn (specialtegn) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; “” < >,.? /) Valutasymboler såsom euro eller britisk pund tælles ikke som specialtegn for denne politikindstilling.
    • Ethvert Unicode-tegn, der er kategoriseret som et alfabetisk tegn, men ikke er stort eller små bogstaver. Denne gruppe inkluderer Unicode-tegn fra asiatiske sprog.

Krav om kompleksitet håndhæves, når adgangskoder ændres eller oprettes.

De regler, der er inkluderet i Windows Server-adgangskodekompleksitetskravene er en del af Passfilt.dll, og de kan ikke ændres direkte.

Når det er aktiveret, kan standard Passfilt.dll medføre yderligere Help Desk-opkald til låste konti, fordi brugere er ikke vant til adgangskoder, der indeholder tegn, der ikke er i alfabetet. Men denne politikindstilling er liberal nok til, at alle brugere skal vænne sig til den.

Yderligere indstillinger, der kan inkluderes i en brugerdefineret Passfilt.dll, er brugen af ikke-øverste række tegn. For at skrive tegn i øverste række skal du holde SHIFT-tasten nede og trykke på en af tasterne på nummerrækken på tastaturet (fra 1 til 9 og 0).

Mulige værdier

  • Aktiveret
  • Deaktiveret
  • Ikke defineret

Bedste fremgangsmåder

Tip

Se Vejledning til adgangskode for at få de nyeste bedste fremgangsmåder.

Indstil adgangskoder skal opfylde kompleksitetskravene til Aktiveret. Denne politikindstilling kombineret med en minimum adgangskodelængde på 8 sikrer, at der er mindst 218.340.105.584.896 forskellige muligheder for en enkelt adgangskode. Denne indstilling gør et brutalt kraftangreb vanskeligt, men stadig ikke umuligt.

Brug af ALT-nøglekarakterkombinationer kan i høj grad forbedre en adgangskodes kompleksitet. At kræve, at alle brugere i en organisation overholder sådanne strenge adgangskodekrav, kan dog resultere i utilfredse brugere og en overarbejdet Help Desk. Overvej at implementere et krav i din organisation om at bruge ALT-tegn i området fra 0128 til 0159 som en del af alle administratoradgangskoder. (ALT-tegn uden for dette interval kan repræsentere alfanumeriske standardtegn, der ikke tilføjer adgangskoden yderligere.)

Adgangskoder, der kun indeholder alfanumeriske tegn, er lette at kompromittere ved hjælp af offentligt tilgængelige værktøjer. For at forhindre dette skal adgangskoder indeholde yderligere tegn og opfylde kompleksitetskravene.

Placering

Computerkonfiguration \ Windows-indstillinger \ Sikkerhedsindstillinger \ Kontopolitikker \ Adgangskodepolitik

Standardværdier

Følgende tabel viser faktiske og effektive standardværdier. Standardværdier er også angivet på politikens ejendomsside.

Servertype eller gruppepolitik Objekt (GPO) Standardværdi
Standarddomæne politik Aktiveret
Standard domæne controller politik Aktiveret
Stand-alone server standardindstillinger Deaktiveret
Domæne controller effektive standardindstillinger Aktiveret
Medlemsserver effektive standardindstillinger Aktiveret
Effektive GPO-standardindstillinger på klientcomputere Deaktiveret

Sikkerhedsovervejelser

Dette afsnit beskriver, hvordan en angriber kan udnytte en funktion eller dens konfiguration, hvordan modforanstaltninger implementeres og de mulige negative konsekvenser af implementering af modforanstaltning.

Sårbarhed

Adgangskoder, der kun indeholder alfanumeriske tegn, er ekstremt lette at finde med flere offentligt tilgængelige værktøjer.

Modforanstaltning

Konfigurer adgangskoder skal opfylde politikindstilling for kompleksitetskrav til Aktiveret og rådes brugere til at bruge en række tegn i deres adgangskoder.

Når det kombineres med en minimum adgangskodelængde på 8, sikrer denne politikindstilling, at antallet af forskellige muligheder for en enkelt adgangskode er så stor, at det er vanskeligt (men ikke umuligt) for et brutalt kraftangreb at lykkes. (Hvis politikindstillingen Minimum adgangskodelængde øges, øges også den gennemsnitlige tid, der er nødvendig for et vellykket angreb.)

Potentiel indvirkning

Hvis standardkonfigurationen for adgangskodekompleksitet bevares, yderligere Help Desk-opkald til låste konti kan forekomme, fordi brugerne muligvis ikke er vant til adgangskoder, der indeholder ikke-alfabetiske tegn, eller de kan have problemer med at indtaste adgangskoder, der indeholder tegn med accent eller symboler på tastaturer med forskellige layout. Dog bør alle brugere være i stand til at overholde kompleksitetskravet med minimale vanskeligheder.

Hvis din organisation har strengere sikkerhedskrav, kan du oprette en brugerdefineret version af Passfilt.dll-filen, der tillader brug af vilkårligt komplekse regler for adgangskodestyrke. For eksempel kan et brugerdefineret adgangskodefilter muligvis kræve brug af ikke-øverste række-symboler. (Symboler i øverste række er dem, der kræver, at du holder SHIFT-tasten nede og derefter trykker på en af tasterne på nummerrækken på tastaturet, fra 1 til 9 og 0.) Et brugerdefineret adgangskodefilter kan muligvis også udføre en ordbogskontrol for at kontrollere, at den foreslåede adgangskode ikke indeholder almindelige ordbogord eller fragmenter.

Brug af ALT-nøglekarakterkombinationer kan i høj grad øge kompleksiteten af en adgangskode. Sådanne strenge adgangskodekrav kan dog resultere i yderligere Help Desk-anmodninger. Alternativt kan din organisation overveje et krav om, at alle administratoradgangskoder skal bruge ALT-tegn i området 0128–0159. (ALT-tegn uden for dette interval kan repræsentere alfanumeriske standardtegn, der ikke tilføjer ekstra kompleksitet til adgangskoden.)

  • Adgangskodepolitik

Write a Comment

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *