- 22.01.2021
- 5 minut na przeczytanie
-
- D
- g
- R
- j
- d
-
+6
Dotyczy
- Windows 10
Opisuje najlepsze praktyki, lokalizację, wartości i kwestie bezpieczeństwa dotyczące hasła, które musi spełniać wymagania dotyczące złożoności, ustawienie zasad bezpieczeństwa.
Dokumentacja
Hasło musi spełniać wymagania dotyczące złożoności. hasła muszą spełniać szereg wytycznych dotyczących silnych haseł. Po włączeniu to ustawienie wymaga, aby hasła spełniały następujące wymagania:
-
Hasła nie mogą zawierać wartości samAccountName (nazwa konta) użytkownika ani całej wartości displayName (wartość Full Name). w kontrolach nie jest rozróżniana wielkość liter.
SamAccountName jest sprawdzana w całości tylko w celu określenia, czy jest częścią hasła. Jeśli samAccountName ma mniej niż trzy znaki, to sprawdzenie jest pomijane. analizowane pod kątem separatorów: przecinki, kropki, myślniki lub łączniki, podkreślenia, spacje, znaki funta i tabulatory. Jeśli którykolwiek z tych separatorów zostanie znaleziony, element displayName zostanie podzielony, a wszystkie przeanalizowane sekcje (tokeny) zostaną potwierdzone, że nie zostaną uwzględnione w haśle . Tokeny krótsze niż trzy znaki są ignorowane, a ich fragmenty nie są sprawdzane. Na przykład nazwa „Erin M. Hagens” jest podzielona na trzy tokeny: „Erin”, „M” i „Havens”. Ponieważ drugi token ma tylko jeden znak, jest ignorowany, dlatego ten użytkownik może n nie mieć hasła zawierającego „erin” lub „havens” jako podciąg w dowolnym miejscu w haśle.
-
Hasło zawiera znaki z trzech z następujących kategorii:
- Wielkie litery języków europejskich (od A do Z, ze znakami diakrytycznymi, znaki greckie i cyrylica)
- Małe litery języków europejskich (od a do z, ostre-s, ze znakami diakrytycznymi , Znaki greckie i cyrylica)
- Podstawowe 10 cyfr (od 0 do 9)
- Znaki inne niż alfanumeryczne (znaki specjalne) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; „” < >,.? /) Symbole walut, takie jak euro lub funt brytyjski, nie są liczone jako znaki specjalne w tym ustawieniu zasad.
- Każdy znak Unicode, który jest sklasyfikowany jako znak alfabetu, ale nie jest wielkimi ani małymi literami. Ta grupa zawiera znaki Unicode z języków azjatyckich.
Wymagania dotyczące złożoności są egzekwowane podczas zmiany lub tworzenia haseł.
Reguły, które są zawarte w wymaganiach dotyczących złożoności haseł systemu Windows Server są częścią Passfilt.dll i nie można ich bezpośrednio modyfikować.
Gdy ta opcja jest włączona, domyślny plik Passfilt.dll może powodować dodatkowe wywołania działu pomocy technicznej dotyczące zablokowanych kont, ponieważ użytkownicy nie są przyzwyczajeni do haseł zawierających znaki, których nie ma w alfabecie. Ale to ustawienie zasad jest na tyle liberalne, że wszyscy użytkownicy powinni się do niego przyzwyczaić.
Dodatkowe ustawienia, które można uwzględnić w niestandardowym pliku Passfilt.dll, to użycie znaków innych niż górne wiersze. Aby wpisać znaki z górnego rzędu, przytrzymaj klawisz SHIFT i naciśnij jeden z klawiszy w rzędzie cyfr na klawiaturze (od 1 do 9 i 0).
Możliwe wartości
- Włączone
- Wyłączone
- Nie zdefiniowano
Sprawdzone metody
Wskazówka
Aby zapoznać się z najnowszymi sprawdzonymi metodami, zobacz Wskazówki dotyczące hasła.
Ustawienie haseł musi spełniać wymagania dotyczące złożoności na Włączone. To ustawienie zasad w połączeniu z minimalną długością hasła wynoszącą 8 gwarantuje, że istnieje co najmniej 218 340 105 584 896 różnych możliwości dla jednego hasła. To ustawienie sprawia, że atak brutalnej siły jest trudny, ale nadal nie niemożliwy.
Użycie kombinacji znaków klawisza ALT może znacznie zwiększyć złożoność hasła. Jednak wymaganie od wszystkich użytkowników w organizacji przestrzegania tak surowych wymagań dotyczących hasła może skutkować niezadowoleniem użytkowników i przepracowanym działem pomocy technicznej. Rozważ wdrożenie wymagania w swojej organizacji, aby używać znaków ALT z zakresu od 0128 do 0159 jako części wszystkich haseł administratora. (Znaki ALT spoza tego zakresu mogą reprezentować standardowe znaki alfanumeryczne, które nie zwiększają złożoności hasła).
Hasła zawierające tylko znaki alfanumeryczne są łatwe do złamania przy użyciu publicznie dostępnych narzędzi. Aby temu zapobiec, hasła powinny zawierać dodatkowe znaki i spełniać wymagania dotyczące złożoności.
Lokalizacja
Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady kont \ Zasady haseł
Wartości domyślne
W poniższej tabeli wymieniono rzeczywiste i skuteczne domyślne wartości zasad. Wartości domyślne są również wymienione na stronie właściwości zasad.
Typ serwera lub zasady grupy Obiekt (GPO) | Wartość domyślna |
---|---|
Domyślne zasady domeny | Włączone |
Domyślne zasady kontrolera domeny | Włączone |
Ustawienia domyślne serwera autonomicznego | Wyłączone |
Efektywne ustawienia domyślne kontrolera domeny | Włączone |
Efektywne ustawienia domyślne serwera członkowskiego | Włączone |
Efektywne ustawienia domyślne GPO na komputerach klienckich | Wyłączone |
Zagadnienia dotyczące bezpieczeństwa
W tej sekcji opisano, w jaki sposób osoba atakująca może wykorzystywać funkcję lub jej konfigurację, jak wdrożyć środek zaradczy i możliwe negatywne konsekwencje wdrożenia środka zaradczego.
Luka w zabezpieczeniach
Hasła zawierające tylko znaki alfanumeryczne są niezwykle łatwe do wykrycia za pomocą kilku publicznie dostępnych narzędzi.
Środki zaradcze
Skonfiguruj hasła, które muszą spełniać ustawienie zasad wymagań dotyczących złożoności na Włączone i zalecanie użytkownikom używania różnych znaków w hasłach.
W połączeniu z minimalną długością hasła wynoszącą 8 to ustawienie zasad zapewnia, że liczba różnych możliwości dla jednego hasła jest tak wielka, że skuteczny atak brutalnej siły jest trudny (ale nie niemożliwy). (Jeśli zwiększy się ustawienie zasad minimalnej długości hasła, wzrośnie również średni czas niezbędny do udanego ataku).
Potencjalny wpływ
Jeśli zachowana jest domyślna konfiguracja złożoności hasła, dodatkowe wezwania do pomocy technicznej dotyczące zablokowanych kont mogą wystąpić, ponieważ użytkownicy mogą nie być przyzwyczajeni do haseł zawierających znaki inne niż alfabetyczne lub mogą mieć problemy z wprowadzaniem haseł zawierających znaki akcentowane lub symbole na klawiaturach o różnych układach. Jednak wszyscy użytkownicy powinni być w stanie spełnić wymaganie złożoności przy minimalnych trudnościach.
Jeśli Twoja organizacja ma bardziej rygorystyczne wymagania dotyczące bezpieczeństwa, możesz utworzyć niestandardową wersję pliku Passfilt.dll, która umożliwia korzystanie z dowolnie złożone reguły siły hasła. Na przykład niestandardowy filtr haseł może wymagać użycia symboli innych niż górne wiersze. (Symbole z górnego rzędu to te, które wymagają naciśnięcia i przytrzymania klawisza SHIFT, a następnie naciśnięcia dowolnego klawisza w rzędzie cyfr na klawiaturze, od 1 do 9 i 0.) Niestandardowy filtr hasła może również przeprowadzić sprawdzenie słownika aby sprawdzić, czy proponowane hasło nie zawiera popularnych słów lub fragmentów ze słownika.
Użycie kombinacji znaków klawisza ALT może znacznie zwiększyć złożoność hasła. Jednak takie surowe wymagania dotyczące hasła mogą skutkować dodatkowymi żądaniami Help Desk. Alternatywnie organizacja może rozważyć wymaganie, aby wszystkie hasła administratora używały znaków ALT z zakresu 0128–0159. (Znaki ALT spoza tego zakresu mogą reprezentować standardowe znaki alfanumeryczne, które nie zwiększyłyby złożoności hasła).
- Zasady dotyczące haseł