Passord må oppfylle kompleksitetskrav

  • 1/22/2021
  • 5 minutter å lese
    • D
    • g
    • R
    • j
    • d
    • +6

Gjelder

  • Windows 10

Beskriver beste fremgangsmåter, plassering, verdier og sikkerhetshensyn for passordet som må oppfylle kravene til kompleksitetskrav. Sikkerhetspolicyinnstillingen. passord må oppfylle en rekke retningslinjer for sterkt passord. Når dette er aktivert, krever denne innstillingen passord for å oppfylle følgende krav:

  1. Passord kan ikke inneholde brukerens samAccountName (kontonavn) -verdi eller hele displayName (Fullt navn). sjekker er ikke store og små bokstaver.

    SamAccountName kontrolleres bare i sin helhet for å avgjøre om det er en del av passordet. Hvis samAccountName er mindre enn tre tegn, hoppes denne sjekken over. Displaynavnet er analysert for skilletegn: komma, punktum, bindestrek eller bindestrek, understreker, mellomrom, pundtegn og faner. Hvis noen av disse skillelinjene blir funnet, blir displaynavnet delt og alle analyserte seksjoner (tokens) er bekreftet for ikke å være inkludert i passordet Tokens som er kortere enn tre tegn blir ignorert, og delene av tokens blir ikke krysset av. For eksempel er navnet «Erin M. Hagens» delt i tre tokens: «Erin», «M» og «Havens». Fordi det andre token bare er ett tegn, blir det ignorert. Derfor kan denne brukeren n ikke ha et passord som inneholdt enten «erin» eller «havnes» som en substring hvor som helst i passordet.

  2. Passordet inneholder tegn fra tre av følgende kategorier:

    • Store bokstaver i europeiske språk (A til Z, med diakritiske tegn, greske og kyrilliske tegn)
    • Små bokstaver i europeiske språk (a til z, skarpe-s, med diakritiske tegn , Greske og kyrilliske tegn)
    • Basis 10 sifre (0 til 9)
    • Ikke-alfanumeriske tegn (spesialtegn) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; «» < >,.? /) Valutasymboler som euro eller britisk pund regnes ikke som spesialtegn for denne policyinnstillingen.
    • Ethvert Unicode-tegn som er kategorisert som et alfabetisk tegn, men ikke er stor eller liten bokstav. Denne gruppen inkluderer Unicode-tegn fra asiatiske språk.

Krav om kompleksitet håndheves når passord endres eller opprettes.

Reglene som er inkludert i Windows Server-passordets kompleksitetskrav, er en del av Passfilt.dll, og de kan ikke endres direkte.

Når dette er aktivert, kan standard Passfilt.dll føre til noen ekstra Help Desk-samtaler for utelåste kontoer brukere er ikke vant med passord som inneholder tegn som ikke er i alfabetet. Men denne policyinnstillingen er liberal nok til at alle brukere skal venne seg til det.

Ytterligere innstillinger som kan inkluderes i en tilpasset Passfilt.dll er bruk av tegn som ikke er i øverste rad. For å skrive tegn på øvre rad holder du nede SKIFT-tasten og trykker på en av tastene på tallraden på tastaturet (fra 1 til 9 og 0).

Mulige verdier

  • Aktivert
  • Deaktivert
  • Ikke definert

Beste fremgangsmåter

Tips

Hvis du vil ha de siste beste fremgangsmåtene, kan du se Passordveiledning.

Angi passord må oppfylle kompleksitetskravene til Aktivert. Denne policyinnstillingen, kombinert med en minimum passordlengde på 8, sikrer at det er minst 218,340,105,584,896 forskjellige muligheter for et enkelt passord. Denne innstillingen gjør et voldsomt angrep vanskelig, men fortsatt ikke umulig.

Bruk av ALT-nøkkeltegnkombinasjoner kan i stor grad forbedre passordets kompleksitet. Å kreve at alle brukere i en organisasjon overholder slike strenge passordkrav, kan imidlertid føre til ulykkelige brukere og en overarbeidet Help Desk. Vurder å implementere et krav i organisasjonen din om å bruke ALT-tegn i området 0128 til 0159 som en del av alle administratorpassord. (ALT-tegn utenfor det området kan representere alfanumeriske standardtegn som ikke tilfører passordet ekstra kompleksitet.)

Passord som bare inneholder alfanumeriske tegn, er enkle å kompromittere ved å bruke offentlig tilgjengelige verktøy. For å forhindre dette, må passord inneholde flere tegn og oppfylle kravene til kompleksitet.

Plassering

Datamaskinkonfigurasjon \ Windows-innstillinger \ Sikkerhetsinnstillinger \ Kontopolitikk \ Passordpolicy

Standardverdier

Tabellen nedenfor viser faktiske og effektive standardverdier. Standardverdier er også oppført på policyens eiendomsside.

Servertype eller gruppepolicy Objekt (GPO) Standardverdi
Standard domene policy Enabled
Standard policy for domain controller Enabled
Standardinnstillinger for frittstående server Deaktivert
Domenekontroller effektive standardinnstillinger Aktivert
Effektive standardinnstillinger for medlemsserver Aktivert
Effektive GPO-standardinnstillinger på klientdatamaskiner Deaktivert

Sikkerhetshensyn

Denne delen beskriver hvordan en angriper kan utnytte en funksjon eller dens konfigurasjon, hvordan implementere mottiltak og mulige negative konsekvenser av implementering av mottiltak.

Sårbarhet

Passord som bare inneholder alfanumeriske tegn er ekstremt enkle å oppdage med flere offentlig tilgjengelige verktøy.

Mottiltak

Konfigurer passordene må oppfylle policyinnstilling for kompleksitetskrav til Aktivert og råde brukere til å bruke en rekke tegn i passordene sine.

Når det kombineres med en minimum passordlengde på 8, sikrer denne policyinnstillingen at antallet forskjellige muligheter for et enkelt passord er så flott at det er vanskelig (men ikke umulig) for et brutalt styrkeangrep å lykkes. (Hvis policyinnstillingen for minimum passordlengde økes, øker også gjennomsnittlig tid som kreves for et vellykket angrep.)

Potensiell innvirkning

Hvis standardkonfigurasjonen for passordkompleksitet beholdes, flere Help Desk-samtaler for utelukkede kontoer kan oppstå fordi brukere kanskje ikke er vant til passord som inneholder ikke-alfabetiske tegn, eller de kan ha problemer med å skrive inn passord som inneholder tegn eller symboler med aksent på tastaturer med forskjellige oppsett. Imidlertid bør alle brukere være i stand til å oppfylle kompleksitetskravet med minimale vanskeligheter.

Hvis organisasjonen din har strengere sikkerhetskrav, kan du opprette en tilpasset versjon av Passfilt.dll-filen som tillater bruk av vilkårlig komplekse regler for passordstyrke. For eksempel kan et tilpasset passordfilter kreve bruk av ikke-øvre rad-symboler. (Symboler på øverste rad er de som krever at du holder nede SHIFT-tasten og deretter trykker på en av tastene på tallraden på tastaturet, fra 1 til 9 og 0.) Et tilpasset passordfilter kan også utføre en ordbokskontroll for å bekrefte at det foreslåtte passordet ikke inneholder vanlige ordboksord eller fragmenter.

Bruk av ALT-nøkkeltegnkombinasjoner kan i stor grad forbedre passordets kompleksitet. Imidlertid kan slike strenge passordkrav resultere i flere Help Desk-forespørsler. Alternativt kan organisasjonen vurdere et krav om at alle administratorpassord skal bruke ALT-tegn i 0128–0159-området. (ALT-tegn utenfor dette området kan representere alfanumeriske standardtegn som ikke vil gi passordet ekstra kompleksitet.)

  • Passordpolicy

Write a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *