jelszónak meg kell felelnie a bonyolultsági követelményeknek

  • 2021.01.22.
  • 5 perc az olvasáshoz
    • D
    • g
    • R
    • j
    • d
    • +6

A következőre vonatkozik:

  • Windows 10

Leírja a bevált módszereket, a helyet, az értékeket és a biztonsági szempontokat, ha a Jelszónak meg kell felelnie a bonyolultsági követelményeknek megfelelő biztonsági házirend-beállításoknak.

Hivatkozás

A Jelszavaknak meg kell felelniük a bonyolultsági követelményekre vonatkozó házirend-beállítással. a jelszavaknak meg kell felelniük az erős jelszavakra vonatkozó irányelveknek. Ha engedélyezve van, ehhez a beállításhoz jelszavakra van szükség, hogy megfeleljenek a következő követelményeknek:

  1. A jelszavak nem tartalmazhatják a felhasználó samAccountName (Fióknév) értékét vagy teljes displayName (Teljes név érték) értékét. Az ellenőrzések nem különböztetik a kis- és nagybetűket.

    A samAccountName teljes egészében csak annak ellenőrzése érdekében ellenőrizhető, hogy része-e a jelszónak. Ha a samAccountName kevesebb, mint három karakter hosszú, akkor ezt az ellenőrzést kihagyja. A displayName értelmezve elválasztók számára: vesszők, pontok, kötőjelek vagy kötőjelek, aláhúzások, szóközök, font jelek és fülek. Ha ezek a határolók bármelyike megtalálható, a displayName fel van osztva, és megerősítésre kerül, hogy az összes elemzett szakasz (token) nem szerepel a jelszóban . A három karakternél rövidebb tokeneket figyelmen kívül hagyják, és a tokenek alszövegeit nem ellenőrzik. Például az “Erin M. Hagens” név három jelzőre oszlik: “Erin”, “M” és “Havens”. Mivel a második token csak egy karakter hosszú, ezért figyelmen kívül hagyják, ezért ez a felhasználó n Rendelkezik olyan jelszóval, amely az “erin” vagy a “haven” szöveget tartalmazta alszövegként bárhol a jelszóban.

  2. A jelszó a következő kategóriák három karakterét tartalmazza:

    • Az európai nyelvek nagybetűi (A-tól Z-ig, diakritikus jelekkel, görög és cirill betűkkel)
    • Az európai nyelvek kisbetűi (a-tól z-ig, éles-s-ig, diakritikus jelekkel) , Görög és cirill betűs karakterek)
    • Alapozzon 10 számjegyet (0 és 9 között)
    • Nem alfanumerikus karakterek (speciális karakterek) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; “” < >,.? /) A pénznemszimbólumok, például az euró vagy a brit font, nem számítanak speciális karakternek ebben a házirend-beállításban.
    • Bármely Unicode karakter, amely ábécés karakterként kategorizálva van, de nem nagy vagy kisbetű. Ez a csoport az ázsiai nyelvű Unicode karaktereket tartalmazza.

A komplexitás követelményei érvénybe lépnek a jelszavak módosításakor vagy létrehozásakor.

A szabályok A Windows Server jelszavaival kapcsolatos összetettségi követelmények a Passfilt.dll részét képezik, és közvetlenül nem módosíthatók.

Ha engedélyezve van, az alapértelmezett Passfilt.dll további további Help Desk hívásokat okozhat a zárolt fiókoknál, mert a felhasználók nem szoktak olyan jelszavakat használni, amelyek olyan karaktereket tartalmaznak, amelyek nem szerepelnek az ábécében. De ez a házirend-beállítás elég liberális ahhoz, hogy minden felhasználó megszokja.

Az egyedi Passfilt.dll fájlba beilleszthető további beállítások a nem felső soros karakterek használata. A felső sorba tartozó karakterek beírásához tartsa lenyomva a SHIFT billentyűt, és nyomja meg a billentyűzet egyik sorának egyik gombját (1-től 9-ig és 0-ig).

Lehetséges értékek

  • Engedélyezve
  • Letiltva
  • Nincs meghatározva

Bevált módszerek

Tipp

A legújabb bevált módszerekért lásd: Jelszó útmutató.

A jelszavak beállítása a bonyolultsági követelményeknek engedélyezve legyen. Ez a házirend-beállítás a minimum 8 jelszóhosszal kombinálva biztosítja, hogy egyetlen jelszóra legalább 218 340 105 105 584 896 különböző lehetőség álljon rendelkezésre. Ez a beállítás megnehezíti a durva erő támadását, de mégsem lehetetlen.

Az ALT kulcs karakterkombinációk használata jelentősen megnövelheti a jelszó összetettségét. Ha azonban a szervezet összes felhasználójától megkövetelik az ilyen szigorú jelszókövetelmények betartását, az elégedetlen felhasználókhoz és túlterhelt Help Deskhez vezethet. Fontolja meg annak a követelménynek a bevezetését a szervezetében, hogy az ALT karaktereket a 0128 és 0159 közötti tartományban használja az összes rendszergazdai jelszó részeként. (Az ezen a tartományon kívül eső ALT karakterek szabványos alfanumerikus karaktereket képviselhetnek, amelyek nem tesznek további bonyolultságot a jelszóhoz.)

A csak alfanumerikus karaktereket tartalmazó jelszavakat könnyű megsérteni a nyilvánosan elérhető eszközök használatával. Ennek megakadályozása érdekében a jelszavaknak további karaktereket kell tartalmazniuk, és meg kell felelniük a bonyolultsági követelményeknek.

Hely

Számítógép-konfiguráció \ Windows-beállítások \ Biztonsági beállítások \ Fiók házirendek \ Jelszó-irányelv

Alapértelmezett értékek

Az alábbi táblázat felsorolja tényleges és tényleges alapértelmezett házirend-értékek. Az alapértelmezett értékek a házirend tulajdonságoldalán is szerepelnek.

Kiszolgálótípus vagy csoportházirend Objektum (GPO) Alapértelmezett érték
Alapértelmezett domain házirend Engedélyezve
Alapértelmezett tartományvezérlő házirend Engedélyezve
Önálló kiszolgáló alapértelmezett beállításai Letiltva
A tartományvezérlő tényleges alapértelmezett beállításai Engedélyezve
Tagkiszolgáló hatékony alapértelmezett beállításai Engedélyezve
Hatékony GPO alapértelmezett beállítások az ügyfélszámítógépeken Letiltva

Biztonsági szempontok

Ez a szakasz leírja, hogy egy támadó hogyan kihasználni egy funkciót vagy annak konfigurációját, az ellenintézkedés végrehajtásának módját és az ellenintézkedés lehetséges negatív következményeit.

biztonsági rés

A csak alfanumerikus karaktereket tartalmazó jelszavakat rendkívül könnyen fel lehet fedezni számos nyilvánosan elérhető eszközzel.

Ellenintézkedés

A jelszavaknak meg kell felelniük bonyolultsági követelmények házirend beállítása Engedélyezve, és azt tanácsolja a felhasználóknak, hogy különféle karaktereket használjanak a jelszavukban.

Ha a minimális jelszó hossza 8, ez a házirend-beállítás biztosítja, hogy egyetlen jelszóhoz különféle lehetőségek kerüljenek. olyan nagy, hogy nehéz (de nem lehetetlen) egy nyers erőszakos támadás sikere. (Ha megnöveli a Minimális jelszó hossza házirend-beállítást, a sikeres támadáshoz szükséges átlagos idő is megnő.)

Lehetséges hatások

Ha megmarad az alapértelmezett jelszó-összetettség konfiguráció, Lehetséges, hogy további Help Desk hívások zárolt fiókokhoz fordulhatnak elő, mert a felhasználók esetleg nem szoktak hozzá olyan jelszavakhoz, amelyek nem ábécés karaktereket tartalmaznak, vagy problémákat okozhatnak ékezetes karaktereket vagy szimbólumokat tartalmazó jelszavak megadása különböző elrendezésű billentyűzeteken. Mindazonáltal minden felhasználónak képesnek kell lennie a bonyolultsági követelmény minimális nehézségekkel történő teljesítésére.

Ha szigorúbb biztonsági követelményeket támaszt szervezete, akkor létrehozhat a Passfilt.dll fájl egyéni verzióját, amely lehetővé teszi a önkényesen összetett jelszóerősségi szabályok. Például egy egyedi jelszószűrő megkövetelheti a nem felső sorban lévő szimbólumok használatát. (A felső sorban szereplő szimbólumok megkövetelik, hogy lenyomva tartsa a SHIFT billentyűt, majd nyomja meg a billentyűzet számsorának bármelyik gombját, 1-től 9-ig és 0-ig.) Egy egyéni jelszó szűrő szótári ellenőrzést is végezhet annak ellenőrzése, hogy a javasolt jelszó nem tartalmaz-e általános szótár szavakat vagy töredékeket.

Az ALT kulcs karakterkombinációk használata jelentősen megnövelheti a jelszó összetettségét. Az ilyen szigorú jelszókövetelmények azonban további Help Desk-kérelmeket eredményezhetnek. Alternatív megoldásként szervezete fontolóra veheti az összes rendszergazdai jelszó követelményét, hogy ALT karaktereket használjon a 0128–0159 tartományban. (Az ezen a tartományon kívül eső ALT karakterek szabványos alfanumerikus karaktereket képviselhetnek, amelyek nem adnak további bonyolultságot a jelszónak.)

  • Jelszóházirend

Write a Comment

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük