- 1/22/2021
- 5 minuter att läsa
-
- D
- g
- R
- j
- d
-
+6
Gäller för
- Windows 10
Beskriver bästa praxis, plats, värden och säkerhetsöverväganden för lösenordet måste uppfylla komplexitetskrav säkerhetspolicyinställning.
Referens
Lösenorden måste uppfylla komplexitetspolicyinställningen avgör om lösenord måste uppfylla en rad riktlinjer för starkt lösenord. När denna inställning är aktiverad kräver lösenord att uppfylla följande krav:
-
Lösenord får inte innehålla användarens samAccountName-värde (Kontonamn) eller hela displayName (Fullt namnvärde). kontroller är inte skiftlägeskänsliga.
SamAccountName kontrolleras endast i sin helhet för att avgöra om det är en del av lösenordet. Om samAccountName är mindre än tre tecken lång hoppas den här kontrollen över. tolkas för avgränsare: komma, punkt, bindestreck eller bindestreck, understrykningar, mellanslag, pundtecken och flikar. Om någon av dessa avgränsare hittas delas displaynamnet och alla tolkade sektioner (tokens) bekräftas att de inte ingår i lösenordet Tokens som är kortare än tre tecken ignoreras och delarna av tokens kontrolleras inte. Till exempel är namnet ”Erin M. Hagens” uppdelat i tre tokens: ”Erin”, ”M” och ”Havens”. Eftersom den andra token bara är en karaktär lång ignoreras den. Därför kan den här användaren n inte ha ett lösenord som innehöll antingen ”erin” eller ”fristäder” som en substring var som helst i lösenordet.
-
Lösenordet innehåller tecken från tre av följande kategorier:
- stora bokstäver i europeiska språk (A till Z, med diakritiska tecken, grekiska och kyrilliska tecken)
- Små bokstäver i europeiska språk (a till z, skarpa, med diakritiska tecken , Grekiska och kyrilliska tecken)
- Bas 10 siffror (0 till 9)
- Icke-alfanumeriska tecken (specialtecken) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; ”” < >,.? /) Valutasymboler som euro eller brittiskt pund räknas inte som specialtecken för denna policyinställning.
- Alla Unicode-tecken som kategoriseras som ett alfabetiskt tecken men inte är versaler eller små bokstäver. Denna grupp innehåller Unicode-tecken från asiatiska språk.
Krav på komplexitet tillämpas när lösenord ändras eller skapas.
Reglerna som är ingår i Windows Server lösenordskomplexitetskrav är en del av Passfilt.dll, och de kan inte ändras direkt.
När det är aktiverat kan standardpassfilt.dll orsaka ytterligare Help Desk-samtal för låsta konton eftersom användare är inte vana vid lösenord som innehåller tecken som inte finns i alfabetet. Men denna policyinställning är tillräckligt liberal för att alla användare ska vänja sig vid den.
Ytterligare inställningar som kan inkluderas i en anpassad Passfilt.dll är användningen av icke-övre raden. Om du vill skriva tecken på övre raden håller du ned SKIFT-tangenten och trycker på någon av tangenterna på tangentbordets nummerrad (från 1 till 9 och 0).
Möjliga värden
- Aktiverad
- Inaktiverad
- Ej definierad
Bästa praxis
Tips
För de senaste bästa metoderna, se Lösenordsguide.
Ange lösenord måste uppfylla komplexitetskraven till Enabled. Denna policyinställning, kombinerat med en minsta lösenordslängd på 8, säkerställer att det finns minst 218,340,105,584,896 olika möjligheter för ett enda lösenord. Denna inställning gör en brute force-attack svår men ändå inte omöjlig.
Användningen av ALT-tangentkombinationer kan kraftigt förbättra lösenordets komplexitet. Att kräva att alla användare i en organisation följer sådana stränga lösenordskrav kan dock leda till olyckliga användare och en överarbetad Helpdesk. Överväg att implementera ett krav i din organisation att använda ALT-tecken i intervallet 0128 till 0159 som en del av alla administratörslösenord. (ALT-tecken utanför det intervallet kan representera alfanumeriska standardtecken som inte lägger till ytterligare komplexitet i lösenordet.)
Lösenord som endast innehåller alfanumeriska tecken är lätta att kompromissa med offentligt tillgängliga verktyg. För att förhindra detta bör lösenord innehålla ytterligare tecken och uppfylla komplexitetskraven.
Plats
Datorkonfiguration \ Windows-inställningar \ Säkerhetsinställningar \ Kontopolicy \ Lösenordspolicy
Standardvärden
I följande tabell visas faktiska och effektiva standardvärden. Standardvärden visas också på policys egenskapssida.
Servertyp eller grupprincip Objekt (GPO) | Standardvärde |
---|---|
Standarddomänpolicy | Aktiverad |
Standardpolicy för domänkontrollant | Aktiverad |
Fristående serverns standardinställningar | Inaktiverad |
Domänkontrollant effektiva standardinställningar | Aktiverad |
Effektiva standardinställningar för medlemsserver | Aktiverad |
Effektiva standardinställningar för GPO på klientdatorer | Inaktiverad |
Säkerhetshänsyn
Detta avsnitt beskriver hur en angripare kan utnyttja en funktion eller dess konfiguration, hur motåtgärder genomförs och eventuella negativa konsekvenser av motåtgärdsimplementering.
Sårbarhet
Lösenord som endast innehåller alfanumeriska tecken är extremt lätta att upptäcka med flera allmänt tillgängliga verktyg.
Motåtgärder
Konfigurera lösenorden måste uppfylla policyinställning för komplexitetskrav till Aktiverad och rekommendera användare att använda en mängd olika tecken i sina lösenord.
I kombination med en minsta lösenordslängd på 8 säkerställer denna policyinställning att antalet olika möjligheter för ett lösenord är så stor att det är svårt (men inte omöjligt) för en brute force attack att lyckas. (Om policyinställningen för minimilösenordslängd ökas ökar också den genomsnittliga tid som krävs för en lyckad attack.)
Potentiell påverkan
Om standardkonfigurationen för lösenordskomplexitet bibehålls, ytterligare helpdesk-samtal för uteslutna konton kan uppstå eftersom användare kanske inte är vana vid lösenord som innehåller icke-alfabetiska tecken, eller de kan ha problem med att ange lösenord som innehåller accenttecken eller symboler på tangentbord med olika layouter. Alla användare bör dock kunna uppfylla komplexitetskravet med minimala svårigheter.
Om din organisation har strängare säkerhetskrav kan du skapa en anpassad version av Passfilt.dll-filen som tillåter användning av godtyckligt komplexa regler för lösenordsstyrka. Till exempel kan ett anpassat lösenordsfilter kräva användning av icke-övre radsymboler. (Symboler på övre raden är de som kräver att du håller ned SHIFT-tangenten och sedan trycker på någon av tangenterna på tangentbordets nummerrad, från 1 till 9 och 0.) Ett anpassat lösenordsfilter kan också utföra en ordbokskontroll för att verifiera att det föreslagna lösenordet inte innehåller vanliga ordböcker eller fragment.
Användningen av ALT-tangentkombinationer kan kraftigt förbättra lösenordets komplexitet. Sådana stränga lösenordskrav kan dock leda till ytterligare Help Desk-förfrågningar. Alternativt kan din organisation överväga ett krav för alla administratörslösenord att använda ALT-tecken i intervallet 0128–0159. (ALT-tecken utanför detta intervall kan representera alfanumeriska standardtecken som inte tillför ytterligare komplexitet till lösenordet.)
- Lösenordspolicy