- 22.01.2021
- 5 minute de citit
-
-
D -
g -
R -
j -
d -
+6
-
Se aplică la
- Windows 10
Descrie cele mai bune practici, locație, valori și considerații de securitate pentru Parola trebuie să îndeplinească cerințele de complexitate setarea politicii de securitate.
Referință
Parolele trebuie să îndeplinească cerințele de complexitate setarea politicii determină dacă parolele trebuie să îndeplinească o serie de linii directoare pentru parolele puternice. Când este activată, această setare necesită parole pentru a îndeplini următoarele cerințe:
-
Parolele nu pot conține valoarea utilizatorului samAccountName (Numele contului) sau întregul nume afișat (valoarea Nume complet). verificările nu sunt sensibile la majuscule și minuscule.
SamAccountName este verificat în întregime numai pentru a determina dacă face parte din parolă. Dacă samAccountName are mai puțin de trei caractere, această verificare este omisă. analizate pentru delimitatori: virgule, puncte, liniuțe sau cratime, puncte de subliniere, spații, semne de lire și file. Dacă se găsește oricare dintre aceste delimitatori, displayName este împărțit și toate secțiunile analizate (jetoane) sunt confirmate să nu fie incluse în parolă Jetoanele care au mai puțin de trei caractere sunt ignorate, iar șirurile de jetoane nu sunt verificate. De exemplu, numele „Erin M. Hagens” este împărțit în trei jetoane: „Erin”, „M” și „Havens”. Deoarece al doilea indicativ are doar un caracter, este ignorat. Prin urmare, acest utilizator nu ar putea nu aveți o parolă care să conțină fie „erin”, fie „havens” ca sub șir oriunde în parolă.
-
Parola conține caractere din trei dintre următoarele categorii:
- Literele majuscule ale limbilor europene (de la A la Z, cu semne diacritice, caractere grecești și chirilice)
- Litere mici ale limbilor europene (de la a la z, ascuțite, cu semne diacritice , Caractere grecești și chirilice)
- 10 cifre de bază (de la 0 la 9)
- caractere nealfanumerice (caractere speciale) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; „” < >,.? /) Simbolurile valutare, cum ar fi Euro sau Lira sterlină, nu sunt considerate caractere speciale pentru această setare de politică.
- Orice caracter Unicode care este clasificat ca un caracter alfabetic, dar nu este cu majuscule sau minuscule. Acest grup include caractere Unicode din limbi asiatice.
Cerințele de complexitate sunt aplicate atunci când parolele sunt modificate sau create.
Regulile care sunt incluse în cerințele de complexitate a parolei Windows Server fac parte din Passfilt.dll și nu pot fi modificate direct.
Când este activat, setarea implicită Passfilt.dll poate provoca apeluri suplimentare de la biroul de asistență pentru conturile blocate, deoarece utilizatorii nu sunt obișnuiți cu parolele care conțin caractere care nu sunt în alfabet. Dar această setare de politică este suficient de liberală încât toți utilizatorii ar trebui să se obișnuiască cu ea.
Setările suplimentare care pot fi incluse într-un Passfilt.dll personalizat sunt utilizarea caracterelor care nu sunt în rândul superior. Pentru a introduce caractere în rândul superior, țineți apăsată tasta SHIFT și apăsați una dintre oricare dintre tastele de pe rândul numeric al tastaturii (de la 1 la 9 și 0).
Valorile posibile
- Activat
- Dezactivat
- Nedefinit
Cele mai bune practici
Sfat
Pentru cele mai recente cele mai bune practici, consultați Ghidarea parolelor.
Setați parolele trebuie să îndeplinească cerințele de complexitate la Activat. Această setare de politică, combinată cu o lungime minimă a parolei de 8, asigură că există cel puțin 218.340.105.584.896 posibilități diferite pentru o singură parolă. Această setare face un atac cu forță brută dificil, dar totuși nu este imposibil.
Utilizarea combinațiilor de caractere cheie ALT poate spori foarte mult complexitatea unei parole. Cu toate acestea, obligarea tuturor utilizatorilor dintr-o organizație să respecte cerințele de parolă atât de stricte poate duce la utilizatori nefericiți și la un birou de asistență suprasolicitat. Luați în considerare implementarea unei cerințe în organizația dvs. de a utiliza caractere ALT în intervalul de la 0128 la 0159 ca parte a tuturor parolelor de administrator. (Caracterele ALT din afara acestui interval pot reprezenta caractere alfanumerice standard care nu adaugă o complexitate suplimentară parolei.)
Parolele care conțin doar caractere alfanumerice sunt ușor de compromis prin utilizarea instrumentelor disponibile public. Pentru a preveni acest lucru, parolele ar trebui să conțină caractere suplimentare și să îndeplinească cerințele de complexitate.
Locație
Configurare computer \ Setări Windows \ Setări securitate \ Politici cont \ Politică parolă
Valori implicite
Următorul tabel listează valorile politicii implicite reale și eficiente. Valorile implicite sunt, de asemenea, listate în pagina de proprietăți a politicii.
| Tip server sau Politică de grup Obiect (GPO) | Valoare implicită |
|---|---|
| Politică de domeniu implicită | Activată |
| Politică implicită de controler de domeniu | Activată |
| Setări implicite ale serverului autonom | Dezactivat |
| Setări implicite efective ale controlerului de domeniu | Activat |
| Setări implicite efective ale serverului membru | Activat |
| Setări implicite GPO eficiente pe computerele client | Dezactivat |
Considerații de securitate
Această secțiune descrie modul în care un atacator ar putea exploatați o caracteristică sau configurația acesteia, cum să implementați contramăsura și posibilele consecințe negative ale implementării contramăsurii.
Vulnerabilitate
Parolele care conțin doar caractere alfanumerice sunt extrem de ușor de descoperit cu mai multe instrumente disponibile publicului.
Contramăsură
Configurați parolele setarea politicii de cerințe de complexitate la Activat și sfătuirea utilizatorilor să utilizeze o varietate de caractere în parolele lor.
Atunci când este combinată cu o lungime minimă a parolei de 8, această setare de politică asigură numărul de posibilități diferite pentru o singură parolă este atât de grozav încât este dificil (dar nu imposibil) ca un atac cu forță brută să aibă succes. (Dacă setarea politicii privind lungimea minimă a parolei este mărită, crește și timpul mediu necesar pentru un atac reușit.)
Impact potențial
Dacă se păstrează configurația implicită a complexității parolei, ar putea apărea apeluri suplimentare de la biroul de asistență pentru conturi blocate, deoarece utilizatorii ar putea să nu fie obișnuiți cu parole care conțin caractere non-alfabetice sau ar putea avea probleme la introducerea parolelor care conțin caractere sau simboluri accentuate pe tastaturi cu aspecte diferite. Cu toate acestea, toți utilizatorii ar trebui să poată respecta cerința de complexitate cu dificultăți minime.
Dacă organizația dvs. are cerințe de securitate mai stricte, puteți crea o versiune personalizată a fișierului Passfilt.dll care permite utilizarea reguli de consolidare a parolei în mod arbitrar complexe. De exemplu, un filtru de parolă personalizat ar putea necesita utilizarea simbolurilor care nu sunt în rândul superior. (Simbolurile rândului superior sunt cele care necesită să apăsați și să țineți apăsată tasta SHIFT și apoi să apăsați oricare dintre tastele de pe rândul numeric al tastaturii, de la 1 la 9 și 0.) Un filtru de parolă personalizat poate efectua, de asemenea, o verificare a dicționarului pentru a verifica dacă parola propusă nu conține cuvinte sau fragmente de dicționar obișnuite.
Utilizarea combinațiilor de caractere cheie ALT poate spori foarte mult complexitatea unei parole. Cu toate acestea, astfel de cerințe stricte de parolă pot duce la solicitări suplimentare de birou de asistență. Alternativ, organizația dvs. ar putea lua în considerare o cerință pentru ca toate parolele administratorului să utilizeze caractere ALT în intervalul 0128-0159. (Caracterele ALT din afara acestui interval pot reprezenta caractere alfanumerice standard care nu ar adăuga o complexitate suplimentară parolei.)
- Politica parolelor
