Salasanan on täytettävä monimutkaisuusvaatimukset

  • 22.1.2021
  • 5 minuuttia aikaa lukea
    • D
    • g
    • R
    • j
    • d
    • +6

Koskee

  • Windows 10

Kuvaa salasanan parhaat käytännöt, sijainti, arvot ja suojausnäkökohdat, joiden on täytettävä monimutkaisuusvaatimusten suojauskäytäntöasetus.

Viite

Salasanojen on täytettävä monimutkaisuusvaatimusten käytäntöasetus määrittää, määritetäänkö salasanojen on täytettävä joukko vahvan salasanan ohjeita. Kun tämä asetus on käytössä, tämä asetus vaatii salasanojen täyttävän seuraavat vaatimukset:

  1. Salasanat eivät välttämättä sisällä käyttäjän samAccountName (tilin nimi) -arvoa tai koko displayName-arvoa (koko nimi-arvo). Tarkistukset eivät ole kirjainkoon mukaisia.

    SamAccountName tarkistetaan kokonaisuudessaan vain sen selvittämiseksi, onko se osa salasanaa. Jos samAccountName on alle kolmen merkin pituinen, tämä tarkistus ohitetaan. jäsennelty erottimille: pilkut, pisteet, viivat tai väliviivat, alaviivat, välilyönnit, punamerkit ja sarkaimet. Jos jokin näistä erottimista löytyy, displayName jaetaan ja kaikkia jäsennettyjä osioita (tunnuksia) ei vahvisteta salasanassa Tunnuksia, jotka ovat lyhyempiä kuin kolme merkkiä, ei oteta huomioon, eikä merkkien alaotsia tarkisteta. Esimerkiksi nimi ”Erin M. Hagens” jaetaan kolmeen tunnukseen: ”Erin”, ”M” ja ”Havens”. Koska toinen tunnus on vain yksi merkki pitkä, se jätetään huomiotta. Siksi tämä käyttäjä voisi n sinulla ei ole salasanaa, joka sisälsi joko ”erin” tai ”havenit” alaotsakkeeksi missä tahansa salasanassa.

  2. Salasana sisältää merkkejä kolmesta seuraavista luokista:

    • Eurooppalaisten kielten isot kirjaimet (A – Z, diakritisillä merkeillä, kreikan ja kyrilliset merkit)
    • Eurooppalaisten kielten pienet kirjaimet (a – z, terävät s, diakriittisillä merkeillä , Kreikan ja kyrilliset merkit)
    • Perustaa 10 numeroa (0-9)
    • Ei-aakkosnumeeriset merkit (erikoismerkit) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; ”” < >,.? /) Valuuttamerkkejä, kuten euro tai Ison-Britannian punta, ei lasketa erikoismerkeiksi tässä käytäntöasetuksessa.
    • Kaikki Unicode-merkit, jotka luokitellaan aakkosmerkeiksi, mutta joita ei ole isoja tai pieniä kirjaimia. Tämä ryhmä sisältää aasialaisten kielten Unicode-merkkejä.

Monimutkaisuusvaatimuksia noudatetaan, kun salasanoja vaihdetaan tai luodaan.

Säännöt, jotka ovat Windows Server -palvelimen salasanan monimutkaisuusvaatimukset sisältyvät Passfilt.dll-tiedostoon, eikä niitä voi suoraan muuttaa.

Kun tämä on käytössä, Passfilt.dll-oletus voi aiheuttaa joitain ylimääräisiä Help Desk -puheluja lukituille tileille, koska käyttäjät eivät ole tottuneet salasanoihin, jotka sisältävät merkkejä, joita ei ole aakkosissa. Tämä käytäntöasetus on kuitenkin riittävän liberaali, jotta kaikkien käyttäjien tulisi tottua siihen.

Lisäasetukset, jotka voidaan sisällyttää mukautettuun Passfilt.dll-tiedostoon, ovat muiden kuin ylemmän rivin merkkien käyttö. Jos haluat kirjoittaa ylemmän rivin merkkejä, pidä SHIFT-näppäintä painettuna ja paina mitä tahansa näppäimistön numerorivin näppäimistä (1–9 ja 0).

Mahdolliset arvot

  • Käytössä
  • Ei käytössä
  • Ei määritelty

Parhaat käytännöt

Vinkki

Katso uusimmat parhaat käytännöt kohdasta Salasanaohjeet.

Aseta salasanojen on täytettävä monimutkaisuusvaatimukset -asetukseksi Käytössä. Tämä käytäntöasetus yhdistettynä salasanan vähimmäispituuteen 8 varmistaa, että yhdelle salasanalle on vähintään 218 340 105 584 896 erilaista mahdollisuutta. Tämä asetus tekee raakavoiman hyökkäyksestä vaikeaa, mutta silti mahdotonta.

ALT-näppäinmerkkien yhdistelmien käyttö voi parantaa huomattavasti salasanan monimutkaisuutta. Jos kuitenkin vaaditaan kaikkia organisaation käyttäjiä noudattamaan tällaisia tiukkoja salasanavaatimuksia, seurauksena voi olla tyytymättömiä käyttäjiä ja ylityöllistetty Help Desk. Harkitse organisaatiosi vaatimuksen käyttöönottoa ALT-merkkien välillä välillä 0128 – 0159 osana kaikkia järjestelmänvalvojan salasanoja. (ALT-merkit, jotka ovat kyseisen alueen ulkopuolella, voivat edustaa tavallisia aakkosnumeerisia merkkejä, jotka eivät lisää salasanan monimutkaisuutta.)

Vain aakkosnumeerisia merkkejä sisältävät salasanat on helppo vaarantaa käyttämällä yleisesti saatavilla olevia työkaluja. Tämän estämiseksi salasanojen tulee sisältää lisämerkkejä ja niiden on täytettävä monimutkaisuusvaatimukset.

Sijainti

Tietokoneen kokoonpano \ Windows-asetukset \ Suojausasetukset \ Tilikäytännöt \ Salasanakäytäntö

Oletusarvot

Seuraavassa taulukossa on luettelo todelliset ja tehokkaat oletusarvot. Oletusarvot luetellaan myös käytännön ominaisuus sivulla.

Palvelintyyppi tai ryhmäkäytäntö Objekti (GPO) Oletusarvo
Verkkotunnuksen oletuskäytäntö käytössä
Oletusarvotunnuksen ohjaimen käytäntö käytössä
Erillisen palvelimen oletusasetukset Ei käytössä
Verkkotunnuksen ohjaimen oletusasetukset Käytössä
Jäsenpalvelimen oletusasetukset käytössä
Tehokkaat GPO-oletusasetukset asiakastietokoneissa Ei käytössä

Turvallisuusnäkökohdat

Tässä osassa kuvataan, miten hyökkääjä voi hyödynnä ominaisuutta tai sen kokoonpanoa, miten vastatoimenpide toteutetaan, ja vastatoimen toteutuksen mahdollisia kielteisiä seurauksia.

Haavoittuvuus

Vain aakkosnumeerisia merkkejä sisältävät salasanat on erittäin helppo löytää useilla julkisesti käytettävissä olevilla työkaluilla.

Vastatoimet

Määritä salasanojen on täytettävä monimutkaisuusvaatimusten käytäntöasetukseksi Käytössä ja neuvoo käyttäjiä käyttämään salasanoissaan useita merkkejä.

Yhdistettynä salasanan vähimmäispituuteen 8 tämä käytäntöasetus varmistaa, että yhdelle salasanalle on tarjolla useita eri mahdollisuuksia. on niin suuri, että raakojen joukkojen hyökkäyksen on vaikea (mutta ei mahdotonta) onnistua. (Jos salasanan vähimmäispituuden käytäntöasetusta korotetaan, myös onnistuneen hyökkäyksen tarvitsema keskimääräinen aika kasvaa.)

Mahdollinen vaikutus

Jos oletussalasanan monimutkaisuusmääritys säilytetään, Lisäpalvelupyyntöjä lukituille tileille voi tapahtua, koska käyttäjät eivät välttämättä ole tottuneet salasanoihin, jotka sisältävät ei-aakkosmerkkejä, tai heillä saattaa olla ongelmia syöttämällä aksenttisia merkkejä tai symboleja näppäimistöihin, joissa on erilainen asettelu. Kaikkien käyttäjien tulisi kuitenkin pystyä täyttämään monimutkaisuusvaatimus mahdollisimman vähän.

Jos organisaatiossasi on tiukemmat turvallisuusvaatimukset, voit luoda mukautetun version Passfilt.dll-tiedostosta, joka sallii mielivaltaisesti monimutkaiset salasanan vahvuussäännöt. Esimerkiksi mukautettu salasanasuodatin saattaa edellyttää muiden kuin ylemmän rivin symbolien käyttöä. (Ylärivisymbolit edellyttävät, että pidät SHIFT-näppäintä painettuna ja painat sitten mitä tahansa näppäimistön numerorivin näppäintä, välillä 1–9 ja 0.) Mukautettu salasanasuodatin voi myös suorittaa sanastotarkistuksen varmistaa, että ehdotettu salasana ei sisällä yleisiä sanakirjasanoja tai fragmentteja.

ALT-näppäinyhdistelmien käyttö voi parantaa huomattavasti salasanan monimutkaisuutta. Tällaiset tiukat salasanavaatimukset voivat kuitenkin johtaa lisäpalvelupyyntöihin. Vaihtoehtoisesti organisaatiosi voi harkita vaatimusta, että kaikki järjestelmänvalvojan salasanat käyttävät ALT-merkkejä alueella 0128–0159. (Tämän alueen ulkopuolella olevat ALT-merkit voivat edustaa tavallisia aakkosnumeerisia merkkejä, jotka eivät lisää salasanan monimutkaisuutta.)

  • Salasanakäytäntö

Write a Comment

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *