Hasło musi spełniać wymagania dotyczące złożoności

  • 22.01.2021
  • 5 minut na przeczytanie
    • D
    • g
    • R
    • j
    • d
    • +6

Dotyczy

  • Windows 10

Opisuje najlepsze praktyki, lokalizację, wartości i kwestie bezpieczeństwa dotyczące hasła, które musi spełniać wymagania dotyczące złożoności, ustawienie zasad bezpieczeństwa.

Dokumentacja

Hasło musi spełniać wymagania dotyczące złożoności. hasła muszą spełniać szereg wytycznych dotyczących silnych haseł. Po włączeniu to ustawienie wymaga, aby hasła spełniały następujące wymagania:

  1. Hasła nie mogą zawierać wartości samAccountName (nazwa konta) użytkownika ani całej wartości displayName (wartość Full Name). w kontrolach nie jest rozróżniana wielkość liter.

    SamAccountName jest sprawdzana w całości tylko w celu określenia, czy jest częścią hasła. Jeśli samAccountName ma mniej niż trzy znaki, to sprawdzenie jest pomijane. analizowane pod kątem separatorów: przecinki, kropki, myślniki lub łączniki, podkreślenia, spacje, znaki funta i tabulatory. Jeśli którykolwiek z tych separatorów zostanie znaleziony, element displayName zostanie podzielony, a wszystkie przeanalizowane sekcje (tokeny) zostaną potwierdzone, że nie zostaną uwzględnione w haśle . Tokeny krótsze niż trzy znaki są ignorowane, a ich fragmenty nie są sprawdzane. Na przykład nazwa „Erin M. Hagens” jest podzielona na trzy tokeny: „Erin”, „M” i „Havens”. Ponieważ drugi token ma tylko jeden znak, jest ignorowany, dlatego ten użytkownik może n nie mieć hasła zawierającego „erin” lub „havens” jako podciąg w dowolnym miejscu w haśle.

  2. Hasło zawiera znaki z trzech z następujących kategorii:

    • Wielkie litery języków europejskich (od A do Z, ze znakami diakrytycznymi, znaki greckie i cyrylica)
    • Małe litery języków europejskich (od a do z, ostre-s, ze znakami diakrytycznymi , Znaki greckie i cyrylica)
    • Podstawowe 10 cyfr (od 0 do 9)
    • Znaki inne niż alfanumeryczne (znaki specjalne) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; „” < >,.? /) Symbole walut, takie jak euro lub funt brytyjski, nie są liczone jako znaki specjalne w tym ustawieniu zasad.
    • Każdy znak Unicode, który jest sklasyfikowany jako znak alfabetu, ale nie jest wielkimi ani małymi literami. Ta grupa zawiera znaki Unicode z języków azjatyckich.

Wymagania dotyczące złożoności są egzekwowane podczas zmiany lub tworzenia haseł.

Reguły, które są zawarte w wymaganiach dotyczących złożoności haseł systemu Windows Server są częścią Passfilt.dll i nie można ich bezpośrednio modyfikować.

Gdy ta opcja jest włączona, domyślny plik Passfilt.dll może powodować dodatkowe wywołania działu pomocy technicznej dotyczące zablokowanych kont, ponieważ użytkownicy nie są przyzwyczajeni do haseł zawierających znaki, których nie ma w alfabecie. Ale to ustawienie zasad jest na tyle liberalne, że wszyscy użytkownicy powinni się do niego przyzwyczaić.

Dodatkowe ustawienia, które można uwzględnić w niestandardowym pliku Passfilt.dll, to użycie znaków innych niż górne wiersze. Aby wpisać znaki z górnego rzędu, przytrzymaj klawisz SHIFT i naciśnij jeden z klawiszy w rzędzie cyfr na klawiaturze (od 1 do 9 i 0).

Możliwe wartości

  • Włączone
  • Wyłączone
  • Nie zdefiniowano

Sprawdzone metody

Wskazówka

Aby zapoznać się z najnowszymi sprawdzonymi metodami, zobacz Wskazówki dotyczące hasła.

Ustawienie haseł musi spełniać wymagania dotyczące złożoności na Włączone. To ustawienie zasad w połączeniu z minimalną długością hasła wynoszącą 8 gwarantuje, że istnieje co najmniej 218 340 105 584 896 różnych możliwości dla jednego hasła. To ustawienie sprawia, że atak brutalnej siły jest trudny, ale nadal nie niemożliwy.

Użycie kombinacji znaków klawisza ALT może znacznie zwiększyć złożoność hasła. Jednak wymaganie od wszystkich użytkowników w organizacji przestrzegania tak surowych wymagań dotyczących hasła może skutkować niezadowoleniem użytkowników i przepracowanym działem pomocy technicznej. Rozważ wdrożenie wymagania w swojej organizacji, aby używać znaków ALT z zakresu od 0128 do 0159 jako części wszystkich haseł administratora. (Znaki ALT spoza tego zakresu mogą reprezentować standardowe znaki alfanumeryczne, które nie zwiększają złożoności hasła).

Hasła zawierające tylko znaki alfanumeryczne są łatwe do złamania przy użyciu publicznie dostępnych narzędzi. Aby temu zapobiec, hasła powinny zawierać dodatkowe znaki i spełniać wymagania dotyczące złożoności.

Lokalizacja

Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady kont \ Zasady haseł

Wartości domyślne

W poniższej tabeli wymieniono rzeczywiste i skuteczne domyślne wartości zasad. Wartości domyślne są również wymienione na stronie właściwości zasad.

Typ serwera lub zasady grupy Obiekt (GPO) Wartość domyślna
Domyślne zasady domeny Włączone
Domyślne zasady kontrolera domeny Włączone
Ustawienia domyślne serwera autonomicznego Wyłączone
Efektywne ustawienia domyślne kontrolera domeny Włączone
Efektywne ustawienia domyślne serwera członkowskiego Włączone
Efektywne ustawienia domyślne GPO na komputerach klienckich Wyłączone

Zagadnienia dotyczące bezpieczeństwa

W tej sekcji opisano, w jaki sposób osoba atakująca może wykorzystywać funkcję lub jej konfigurację, jak wdrożyć środek zaradczy i możliwe negatywne konsekwencje wdrożenia środka zaradczego.

Luka w zabezpieczeniach

Hasła zawierające tylko znaki alfanumeryczne są niezwykle łatwe do wykrycia za pomocą kilku publicznie dostępnych narzędzi.

Środki zaradcze

Skonfiguruj hasła, które muszą spełniać ustawienie zasad wymagań dotyczących złożoności na Włączone i zalecanie użytkownikom używania różnych znaków w hasłach.

W połączeniu z minimalną długością hasła wynoszącą 8 to ustawienie zasad zapewnia, że liczba różnych możliwości dla jednego hasła jest tak wielka, że skuteczny atak brutalnej siły jest trudny (ale nie niemożliwy). (Jeśli zwiększy się ustawienie zasad minimalnej długości hasła, wzrośnie również średni czas niezbędny do udanego ataku).

Potencjalny wpływ

Jeśli zachowana jest domyślna konfiguracja złożoności hasła, dodatkowe wezwania do pomocy technicznej dotyczące zablokowanych kont mogą wystąpić, ponieważ użytkownicy mogą nie być przyzwyczajeni do haseł zawierających znaki inne niż alfabetyczne lub mogą mieć problemy z wprowadzaniem haseł zawierających znaki akcentowane lub symbole na klawiaturach o różnych układach. Jednak wszyscy użytkownicy powinni być w stanie spełnić wymaganie złożoności przy minimalnych trudnościach.

Jeśli Twoja organizacja ma bardziej rygorystyczne wymagania dotyczące bezpieczeństwa, możesz utworzyć niestandardową wersję pliku Passfilt.dll, która umożliwia korzystanie z dowolnie złożone reguły siły hasła. Na przykład niestandardowy filtr haseł może wymagać użycia symboli innych niż górne wiersze. (Symbole z górnego rzędu to te, które wymagają naciśnięcia i przytrzymania klawisza SHIFT, a następnie naciśnięcia dowolnego klawisza w rzędzie cyfr na klawiaturze, od 1 do 9 i 0.) Niestandardowy filtr hasła może również przeprowadzić sprawdzenie słownika aby sprawdzić, czy proponowane hasło nie zawiera popularnych słów lub fragmentów ze słownika.

Użycie kombinacji znaków klawisza ALT może znacznie zwiększyć złożoność hasła. Jednak takie surowe wymagania dotyczące hasła mogą skutkować dodatkowymi żądaniami Help Desk. Alternatywnie organizacja może rozważyć wymaganie, aby wszystkie hasła administratora używały znaków ALT z zakresu 0128–0159. (Znaki ALT spoza tego zakresu mogą reprezentować standardowe znaki alfanumeryczne, które nie zwiększyłyby złożoności hasła).

  • Zasady dotyczące haseł

Write a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *