Kennwort muss die Komplexitätsanforderungen erfüllen

  • 22.01.2021
  • 5 Minuten zum Lesen
    • D
    • g
    • R
    • j
    • d
    • +6

Gilt für

  • Windows 10

Beschreibt die Best Practices, den Speicherort, die Werte und die Sicherheitsaspekte für das Kennwort, die den Sicherheitsrichtlinieneinstellungen für Komplexitätsanforderungen entsprechen müssen.

Referenz

Die Richtlinieneinstellungen für Kennwörter müssen den Komplexitätsanforderungen entsprechen Passwörter müssen einer Reihe von Richtlinien für sichere Passwörter entsprechen. Wenn diese Einstellung aktiviert ist, müssen Kennwörter die folgenden Anforderungen erfüllen:

  1. Kennwörter enthalten möglicherweise nicht den Wert samAccountName (Kontoname) des Benutzers oder den gesamten Wert displayName (Wert Full Name). Beide Bei Prüfungen wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Der samAccountName wird vollständig überprüft, um festzustellen, ob er Teil des Kennworts ist. Wenn der samAccountName weniger als drei Zeichen lang ist, wird diese Prüfung übersprungen. Der displayName lautet Für Trennzeichen analysiert: Kommas, Punkte, Bindestriche oder Bindestriche, Unterstriche, Leerzeichen, Nummernzeichen und Tabulatoren. Wenn eines dieser Trennzeichen gefunden wird, wird der Anzeigename aufgeteilt und alle analysierten Abschnitte (Token) werden als nicht im Kennwort enthalten bestätigt Token, die kürzer als drei Zeichen sind, werden ignoriert und Teilzeichenfolgen der Token werden nicht überprüft. Beispielsweise wird der Name „Erin M. Hagens“ in drei Token aufgeteilt: „Erin“, „M“ und „Havens“. Da das zweite Token nur ein Zeichen lang ist, wird es ignoriert. Daher kann dieser Benutzer n Kein Kennwort, das irgendwo im Kennwort entweder „erin“ oder „havens“ als Teilzeichenfolge enthält.

  2. Das Kennwort enthält Zeichen aus drei der folgenden Kategorien:

    • Großbuchstaben europäischer Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Zeichen)
    • Kleinbuchstaben europäischer Sprachen (a bis z, scharf, s mit diakritischen Zeichen) , Griechische und kyrillische Zeichen)
    • Basis 10 Ziffern (0 bis 9)
    • Nicht alphanumerische Zeichen (Sonderzeichen) 🙁 ~! @ # $% ^ & * _- + =` | \ () {}:; „“ < > ,. /) Währungssymbole wie Euro oder Britisches Pfund werden für diese Richtlinieneinstellung nicht als Sonderzeichen gezählt.
    • Alle Unicode-Zeichen, die als alphabetische Zeichen kategorisiert sind, jedoch nicht in Groß- oder Kleinbuchstaben geschrieben sind. Diese Gruppe enthält Unicode-Zeichen aus asiatischen Sprachen.

Komplexitätsanforderungen werden beim Ändern oder Erstellen von Kennwörtern durchgesetzt.

Die geltenden Regeln Die in den Anforderungen an die Windows Server-Kennwortkomplexität enthaltenen Anforderungen sind Teil von Passfilt.dll und können nicht direkt geändert werden.

Wenn diese Option aktiviert ist, kann die standardmäßige Passfilt.dll einige zusätzliche Helpdesk-Aufrufe für gesperrte Konten verursachen, da Benutzer sind nicht an Passwörter gewöhnt, die Zeichen enthalten, die nicht im Alphabet enthalten sind. Diese Richtlinieneinstellung ist jedoch so liberal, dass sich alle Benutzer daran gewöhnen sollten.

Zusätzliche Einstellungen, die in einer benutzerdefinierten Passfilt.dll enthalten sein können, sind die Verwendung von Zeichen, die nicht in der oberen Zeile stehen. Um Zeichen der oberen Reihe einzugeben, halten Sie die UMSCHALTTASTE gedrückt und drücken eine der Tasten in der Zifferntaste der Tastatur (von 1 bis 9 und 0).

Mögliche Werte

  • Aktiviert
  • Deaktiviert
  • Nicht definiert

Best Practices

Tipp

Die neuesten Best Practices finden Sie unter Kennwortrichtlinien.

Festlegen von Kennwörtern muss die Komplexitätsanforderungen für Aktiviert erfüllen. Diese Richtlinieneinstellung in Kombination mit einer Mindestkennwortlänge von 8 stellt sicher, dass für ein einzelnes Kennwort mindestens 218.340.105.584.896 verschiedene Möglichkeiten bestehen. Diese Einstellung macht einen Brute-Force-Angriff schwierig, aber immer noch nicht unmöglich.

Die Verwendung von ALT-Tastenkombinationen kann die Komplexität eines Kennworts erheblich verbessern. Die Verpflichtung aller Benutzer in einer Organisation, solche strengen Kennwortanforderungen einzuhalten, kann jedoch zu unglücklichen Benutzern und einem überarbeiteten Helpdesk führen. Erwägen Sie, in Ihrer Organisation eine Anforderung zu implementieren, ALT-Zeichen im Bereich von 0128 bis 0159 als Teil aller Administratorkennwörter zu verwenden. (ALT-Zeichen außerhalb dieses Bereichs können alphanumerische Standardzeichen darstellen, die dem Kennwort keine zusätzliche Komplexität verleihen.)

Kennwörter, die nur alphanumerische Zeichen enthalten, können mithilfe öffentlich verfügbarer Tools leicht kompromittiert werden. Um dies zu verhindern, sollten Kennwörter zusätzliche Zeichen enthalten und die Komplexitätsanforderungen erfüllen.

Speicherort

Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Kontorichtlinien \ Kennwortrichtlinie

Standardwerte

In der folgenden Tabelle sind die folgenden aufgeführt tatsächliche und effektive Standardrichtlinienwerte. Standardwerte werden auch auf der Eigenschaftsseite der Richtlinie aufgeführt.

Servertyp oder Gruppenrichtlinie Objekt (Gruppenrichtlinienobjekt) Standardwert
Standarddomänenrichtlinie Aktiviert
Standarddomänencontrollerrichtlinie Aktiviert
Standardeinstellungen für eigenständige Server Deaktiviert
Effektive Standardeinstellungen für Domänencontroller Aktiviert
Effektive Standardeinstellungen des Mitgliedsservers Aktiviert
Effektive GPO-Standardeinstellungen auf Clientcomputern Deaktiviert

Sicherheitsüberlegungen

In diesem Abschnitt wird beschrieben, wie ein Angreifer vorgehen könnte Nutzen Sie ein Feature oder seine Konfiguration, die Implementierung der Gegenmaßnahme und die möglichen negativen Folgen der Implementierung der Gegenmaßnahme.

Sicherheitsanfälligkeit

Kennwörter, die nur alphanumerische Zeichen enthalten, sind mit mehreren öffentlich verfügbaren Tools äußerst einfach zu ermitteln.

Gegenmaßnahme

Konfigurieren Sie, ob die Kennwörter übereinstimmen müssen Richtlinieneinstellung für Komplexitätsanforderungen auf Aktiviert und Benutzer sollten verschiedene Zeichen in ihren Kennwörtern verwenden.

In Kombination mit einer Mindestkennwortlänge von 8 stellt diese Richtlinieneinstellung sicher, dass die Anzahl der verschiedenen Möglichkeiten für ein einzelnes Kennwort gewährleistet ist ist so groß, dass es schwierig (aber nicht unmöglich) ist, dass ein Brute-Force-Angriff erfolgreich ist. (Wenn die Richtlinieneinstellung für die minimale Kennwortlänge erhöht wird, erhöht sich auch die durchschnittliche Zeit, die für einen erfolgreichen Angriff erforderlich ist.)

Mögliche Auswirkungen

Wenn die Standardkonfiguration für die Kennwortkomplexität beibehalten wird, Zusätzliche Helpdesk-Aufrufe für gesperrte Konten können auftreten, weil Benutzer möglicherweise nicht an Kennwörter mit nicht alphabetischen Zeichen gewöhnt sind oder Probleme bei der Eingabe von Kennwörtern mit Akzentzeichen oder Symbolen auf Tastaturen mit unterschiedlichen Layouts haben. Alle Benutzer sollten jedoch in der Lage sein, die Komplexitätsanforderungen mit minimalen Schwierigkeiten zu erfüllen.

Wenn Ihre Organisation strengere Sicherheitsanforderungen hat, können Sie eine benutzerdefinierte Version der Datei Passfilt.dll erstellen, die die Verwendung von ermöglicht beliebig komplexe Regeln für die Kennwortstärke. Beispielsweise kann für einen benutzerdefinierten Kennwortfilter die Verwendung von Symbolen außerhalb der oberen Zeile erforderlich sein. (In den Symbolen der oberen Reihe müssen Sie die UMSCHALTTASTE gedrückt halten und dann eine der Tasten in der Ziffernteile der Tastatur von 1 bis 9 und 0 drücken.) Ein benutzerdefinierter Kennwortfilter führt möglicherweise auch eine Wörterbuchprüfung durch um zu überprüfen, ob das vorgeschlagene Kennwort keine gängigen Wörter oder Wörterfragmente enthält.

Die Verwendung von ALT-Tastenkombinationen kann die Komplexität eines Kennworts erheblich verbessern. Solche strengen Kennwortanforderungen können jedoch zu zusätzlichen Helpdesk-Anforderungen führen. Alternativ könnte Ihre Organisation in Betracht ziehen, dass alle Administratorkennwörter ALT-Zeichen im Bereich von 0128 bis 0159 verwenden müssen. (ALT-Zeichen außerhalb dieses Bereichs können alphanumerische Standardzeichen darstellen, die dem Kennwort keine zusätzliche Komplexität verleihen würden.)

  • Kennwortrichtlinie

Write a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.