- 22-1-2021
- 5 minuten om te lezen
-
- D
- g
- R
- j
- d
-
+6
Van toepassing op
- Windows 10
Beschrijft de best practices, locatie, waarden en beveiligingsoverwegingen voor het wachtwoord dat moet voldoen aan de beveiligingsbeleidsinstelling voor complexiteitsvereisten.
Referentie
De beleidsinstelling voor wachtwoorden moet voldoen aan complexiteitsvereisten bepaalt of wachtwoorden moeten voldoen aan een reeks richtlijnen voor sterke wachtwoorden. Indien ingeschakeld, vereist deze instelling wachtwoorden om aan de volgende vereisten te voldoen:
-
Wachtwoorden mogen niet de samAccountName (Accountnaam) -waarde van de gebruiker of de volledige displayName (Volledige naamwaarde) bevatten. Beide controles zijn niet hoofdlettergevoelig.
De samAccountName wordt alleen in zijn geheel gecontroleerd om te bepalen of het deel uitmaakt van het wachtwoord. Als de samAccountName minder dan drie tekens lang is, wordt deze controle overgeslagen. geparseerd voor scheidingstekens: komma’s, punten, streepjes of koppeltekens, onderstrepingstekens, spaties, hekjes en tabs. Als een van deze scheidingstekens wordt gevonden, wordt de displayName gesplitst en wordt bevestigd dat alle geparseerde secties (tokens) niet in het wachtwoord zijn opgenomen Tokens die korter zijn dan drie tekens worden genegeerd en subtekenreeksen van de tokens worden niet gecontroleerd. De naam “Erin M. Hagens” wordt bijvoorbeeld opgesplitst in drie tokens: “Erin”, “M” en “Havens”. Omdat het tweede token slechts één teken lang is, wordt het genegeerd. Daarom kan deze gebruiker n Ik heb geen wachtwoord dat ‘erin’ of ‘havens’ als substring ergens in het wachtwoord bevat.
-
Het wachtwoord bevat karakters uit drie van de volgende categorieën:
- Hoofdletters van Europese talen (A tot Z, met diakritische tekens, Griekse en Cyrillische tekens)
- Kleine letters van Europese talen (a tot en met z, scherpe-s, met diakritische tekens , Griekse en Cyrillische tekens)
- 10 basiscijfers (0 tot en met 9)
- Niet-alfanumerieke tekens (speciale tekens) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; “” < >,.? /) Valutasymbolen zoals de euro of het Britse pond worden niet meegeteld als speciale tekens voor deze beleidsinstelling.
- Elk Unicode-teken dat is gecategoriseerd als een alfabetisch teken, maar geen hoofdletters of kleine letters is. Deze groep bevat Unicode-tekens uit Aziatische talen.
Complexiteitsvereisten worden afgedwongen wanneer wachtwoorden worden gewijzigd of gemaakt.
De regels die zijn opgenomen in de Windows Server-vereisten voor wachtwoordcomplexiteit maken deel uit van Passfilt.dll en kunnen niet rechtstreeks worden gewijzigd.
Indien ingeschakeld, kan de standaard Passfilt.dll enkele extra helpdesk-oproepen voor geblokkeerde accounts veroorzaken, omdat gebruikers zijn niet gewend aan wachtwoorden die tekens bevatten die niet in het alfabet voorkomen. Maar deze beleidsinstelling is liberaal genoeg om alle gebruikers eraan te laten wennen.
Aanvullende instellingen die in een aangepaste Passfilt.dll kunnen worden opgenomen, zijn het gebruik van niet-bovenste rij tekens. Om tekens in de bovenste rij te typen, houdt u de SHIFT-toets ingedrukt en drukt u op een van de toetsen op de cijferrij van het toetsenbord (van 1 tot 9 en 0).
Mogelijke waarden
- Ingeschakeld
- Uitgeschakeld
- Niet gedefinieerd
Beste praktijken
Tip
Zie Wachtwoordbegeleiding voor de nieuwste best practices.
Wachtwoorden instellen moet voldoen aan complexiteitsvereisten voor Ingeschakeld. Deze beleidsinstelling, gecombineerd met een minimale wachtwoordlengte van 8, zorgt ervoor dat er minimaal 218.340.105.584.896 verschillende mogelijkheden zijn voor een enkel wachtwoord. Deze instelling maakt een brute force-aanval moeilijk, maar nog steeds niet onmogelijk.
Het gebruik van ALT-toetscombinaties kan de complexiteit van een wachtwoord aanzienlijk vergroten. Als u echter van alle gebruikers in een organisatie verlangt dat ze zich aan dergelijke strenge wachtwoordvereisten houden, kan dit resulteren in ontevreden gebruikers en een overwerkte helpdesk. Overweeg een vereiste in uw organisatie te implementeren om ALT-tekens in het bereik van 0128 tot en met 0159 te gebruiken als onderdeel van alle beheerderswachtwoorden. (ALT-tekens buiten dat bereik kunnen standaard alfanumerieke tekens vertegenwoordigen die het wachtwoord niet extra ingewikkeld maken.)
Wachtwoorden die alleen alfanumerieke tekens bevatten, zijn gemakkelijk te compromitteren met behulp van openbaar beschikbare tools. Om dit te voorkomen, moeten wachtwoorden extra tekens bevatten en voldoen aan complexiteitsvereisten.
Locatie
Computerconfiguratie \ Windows-instellingen \ Beveiligingsinstellingen \ Accountbeleid \ Wachtwoordbeleid
Standaardwaarden
De volgende tabel bevat de werkelijke en effectieve standaardbeleidswaarden. Standaardwaarden worden ook vermeld op de eigenschappenpagina van het beleid.
Servertype of groepsbeleid Object (GPO) | Standaardwaarde |
---|---|
Standaard domeinbeleid | Ingeschakeld |
Standaard domein controllerbeleid | Ingeschakeld |
Stand-alone server standaardinstellingen | Uitgeschakeld |
Domeincontroller effectieve standaardinstellingen | Ingeschakeld |
Effectieve standaardinstellingen van de ledenserver | Ingeschakeld |
Effectieve GPO-standaardinstellingen op clientcomputers | Uitgeschakeld |
Beveiligingsoverwegingen
In dit gedeelte wordt beschreven hoe een aanvaller misbruik maken van een functie of de configuratie ervan, hoe de tegenmaatregel moet worden geïmplementeerd en de mogelijke negatieve gevolgen van de implementatie van een tegenmaatregel.
Kwetsbaarheid
Wachtwoorden die alleen alfanumerieke tekens bevatten, zijn buitengewoon gemakkelijk te ontdekken met verschillende openbaar beschikbare tools.
Tegenmaatregel
Configureer de wachtwoorden die moeten voldoen beleidsinstelling voor complexiteitsvereisten op Ingeschakeld en adviseer gebruikers om verschillende tekens in hun wachtwoorden te gebruiken.
In combinatie met een minimale wachtwoordlengte van 8 zorgt deze beleidsinstelling ervoor dat het aantal verschillende mogelijkheden voor een enkel wachtwoord is zo groot dat het moeilijk (maar niet onmogelijk) is om een brute force-aanval te laten slagen. (Als de beleidsinstelling Minimale wachtwoordlengte wordt verhoogd, neemt ook de gemiddelde hoeveelheid tijd die nodig is voor een succesvolle aanval toe.)
Potentiële impact
Als de standaardinstellingen voor wachtwoordcomplexiteit behouden blijven, extra helpdesk-oproepen voor geblokkeerde accounts kunnen voorkomen omdat gebruikers mogelijk niet gewend zijn aan wachtwoorden die niet-alfabetische tekens bevatten, of omdat ze problemen kunnen ondervinden bij het invoeren van wachtwoorden met tekens met accenten of symbolen op toetsenborden met verschillende lay-outs. Alle gebruikers moeten echter met minimale moeite kunnen voldoen aan de complexiteitsvereiste.
Als uw organisatie strengere beveiligingseisen heeft, kunt u een aangepaste versie van het Passfilt.dll-bestand maken waarmee u gebruik kunt maken van willekeurig complexe regels voor wachtwoordsterkte. Een aangepast wachtwoordfilter kan bijvoorbeeld het gebruik van niet-bovenste rij symbolen vereisen. (Symbolen op de bovenste rij zijn symbolen waarbij u de SHIFT-toets ingedrukt moet houden en vervolgens op een van de toetsen op de cijferrij van het toetsenbord moet drukken, van 1 tot 9 en 0.) Een aangepast wachtwoordfilter kan ook een woordenboekcontrole uitvoeren om te verifiëren dat het voorgestelde wachtwoord geen veelgebruikte woordenboekwoorden of fragmenten bevat.
Het gebruik van ALT-toetscombinaties kan de complexiteit van een wachtwoord aanzienlijk vergroten. Dergelijke strenge wachtwoordvereisten kunnen echter resulteren in extra Help Desk-verzoeken. Als alternatief zou uw organisatie kunnen overwegen dat alle beheerderswachtwoorden ALT-tekens in het bereik 0128–0159 moeten gebruiken. (ALT-tekens buiten dit bereik kunnen standaard alfanumerieke tekens vertegenwoordigen die het wachtwoord niet extra complex maken.)
- Wachtwoordbeleid