Резюме
Windows 10 актуализации, издадени на 18 август 2020 г., добавя поддръжка за следното:
-
Проверка на събития, за да определите дали приложенията и услугите поддържат 15 знака или по-дълги пароли.
-
Прилагане на минимални дължини на паролите от 15 знака или повече на Windows Server, версия 2004 домейн контролери (DCs).
Поддържани версии на Windows
Проверката на дължините на паролите се поддържа на следните версии на Windows. Прилагането на минимални дължини на пароли от 15 знака или повече се поддържа в Windows Server, версия 2004 и в по-нови версии на Windows.
Версия на Windows |
KB |
Поддръжка |
Windows 10 версия 2004 Windows Server версия 2004 |
Включена в издадената версия |
Прилагане Проверка |
Windows 10, версия 1909 Windows сървър, версия 1909 |
Проверка |
|
Windows 10 версия 1903 Windows server версия 1903 |
Проверка |
|
Windows 10 версия 1809 Windows Server версия 1809 Windows Server 2019 |
Проверка |
|
Windows 10, версия 1607 Windows Server 2016 |
Проверка |
Предложено разполагане
Домейн контролери |
Административни работни станции |
|
Проверка: Ако само проверявате използването на пароли под минимална стойност, разполагайте по следния начин. |
Разполагане на актуализации за всички поддържани компютри, където се иска проверка. |
Разполагане на актуализации за поддържани административни работни станции за нови настройки на групови правила. Използвайте тези работни станции, за да разположите актуализирани групови правила. |
Изпълнение: Ако е желано прилагане на парола с минимална дължина, разполагайте по следния начин. |
Windows Сървър, компютри с версия 2004. Всички компютри трябва да са в тази версия или по-нова версия. Не са необходими допълнителни актуализации. |
Използвайте Windows 10, версия 2004. Новите настройки за групови правила за прилагане са включени в тази версия. Използвайте тези работни станции, за да разположите актуализирани групови правила. |
Указания за разполагане
За да добавите поддръжка за проверка и изпълнение на минимална дължина на паролата, изпълнете следните стъпки:
-
Разполагане на актуализацията на всички поддържани Windows версии на всички домейн контролери.
-
Домейнов контролер: Актуализациите и по-новите актуализации позволяват поддръжка на всички домейнови контролери за удостоверяване на акаунти за потребители или услуги, които са конфигурирани да използват по-големи от 14 знака пароли.
-
Административна работна станция: Разположи актуализациите на административните работни станции, за да позволите прилагането на новите настройки на групови правила към компютри с групови правила.
-
-
Разрешете настройката за групови правила MinimumPasswordLengthAudit в домейн или гора, където са желани по-дълги задължителни пароли. Тази настройка на правила трябва да бъде разрешена в правилата на домейновия контролер по подразбиране, свързани с организационната единица на домейн контролерите (OU).
-
Препоръчваме да оставите правилата за проверка разрешени за три до шест месеца, за да откриете целия софтуер, който не поддържа пароли с повече от 14 знака.
-
Наблюдавайте домейни за събития на Directory-Services-SAM 16978, регистрирани срещу софтуер, управляван с пароли за три до шест месеца. Не е необходимо да следите събитията в Directory-Services-SAM 16978, регистрирани спрямо потребителски акаунти.
-
Ако е възможно, конфигурирайте софтуера да използва по-дълга дължина на паролата.
-
Работете с доставчика на софтуер, за да актуализирате софтуера, за да използвате по-дълги пароли.
-
Разполагане на правила за фина парола за този акаунт с помощта на стойност, която съответства на дължината на паролата, използвана от софтуера.
-
За софтуер, който управлява паролите за акаунти, но не използва автоматично дълги пароли и не може да бъде конфигуриран да използва дълги пароли, за тези акаунти могат да се използват правила за фина парола.
-
-
След като са разгледани всички събития в Directory-Services-SAM 16978, разрешете минимална парола. За да направите това, следвайте тези стъпки:
-
Разполагане на версия на Windows сървър, която поддържа прилагане на всички компютри (включително Read-Only компютри).
-
Разрешете груповите правила на RelaxMinimumPasswordLengthLimits на всички компютри.
-
Конфигуриране на груповите правила на MinimumPasswordLength на всички компютри.
-
Групови правила
Път за правила и име на настройка, поддържани версии |
Описание |
Път до правилата: Компютърна конфигурация > Windows Настройки > правила за Настройки > за акаунти -> Правила за парола -> Проверка на минимална дължина на паролата Име на настройката: MinimumPasswordLengthAuditПоддържа се на:
Не се изисква рестартиране |
Проверка на минималната дължина на паролата Тази настройка за защита определя минималната дължина на паролата, за която се издават предупредителни събития за проверка на дължината на паролата. Тази настройка може да бъде конфигурирана от 1 до 128. Трябва да разрешите и конфигурирате тази настройка само когато се опитате да определите потенциалния ефект от увеличаването на настройката за минимална дължина на паролата във вашата среда. Ако тази настройка не е дефинирана, събитията за проверка няма да бъдат издадени. Ако тази настройка е дефинирана и е по-малка или равна на настройката за минимална дължина на паролата, няма да се издават събития за проверка. Ако тази настройка е дефинирана и е по-голяма от настройката за минимална дължина на паролата и дължината на новата парола за акаунт е по-малка от тази настройка, ще бъде издадено събитие за проверка. |
Път за правила и име на настройка, поддържани версии |
Описание |
Път до правилата: Компютърна конфигурация > Windows Настройки > защита Настройки > правила за акаунти -> Правила за парола -> Отпуснете минималните ограничения за дължина на паролата Задаване на име: RelaxMinimumPasswordLengthLimitsПоддържа се на:
Не се изисква рестартиране |
Отпуснете минималните ограничения за дължината на паролата Тази настройка определя дали настройката за минимална дължина на паролата може да бъде увеличена извън наследеното ограничение от 14. Ако тази настройка не е дефинирана, минималната дължина на паролата може да бъде конфигурирана на не повече от 14. Ако тази настройка е дефинирана и забранена, минималната дължина на паролата може да бъде конфигурирана на не повече от 14. Ако тази настройка е дефинирана и разрешена, минималната дължина на паролата може да бъде конфигурирана повече от 14. За повече информация вж. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Път за правила и име на настройка, поддържани версии |
Описание |
Път до правилата: Компютърна конфигурация > Windows Настройки > правила за Настройки > за акаунти –> Правила за парола -> Минимална дължина на паролата Име на настройката: МинимумPasswordLengthПоддържа се на:
Не се изисква рестартиране |
Тази настройка за защита определя най-малкото количество знаци, които може да съдържа паролата за потребителски акаунт. Максималната стойност за тази настройка зависи от стойността на настройката за минимална дължина на паролата за почивка. Ако настройката за ограничения на минималната дължина на паролата не е дефинирана, тази настройка може да бъде конфигурирана от 0 до 14. Ако настройката за ограничения на минималната дължина на паролата е дефинирана и забранена, тази настройка може да бъде конфигурирана от 0 до 14. Ако настройката за ограничения на минималната дължина на паролата е дефинирана и разрешена, тази настройка може да бъде конфигурирана от 0 до 128. Задаването на необходимия брой знаци на 0 означава, че не се изисква парола. Забележка По подразбиране компютрите с член следвайте конфигурацията на техните домейн контролери. Стойности по подразбиране:
Конфигурирането на тази настройка, по-голямо от 14, може да повлияе на съвместимостта с клиенти, услуги и приложения. Препоръчваме да конфигурирате тази настройка само по-голяма от 14, след като използвате настройката за проверка на минималната дължина на паролата, за да тествате за потенциални несъвместимости при новата настройка. |
Windows на събития
Като част от тази добавена поддръжка са включени три нови съобщения в регистрационния файл на ИД на събитие.
ИД на събитие 16977
ИД на събитие 16977 ще се регистрира, когато настройките на правилата MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsили MinimumPasswordLengthAudit първоначално са конфигурирани или променени в групови правила. Това събитие ще бъде регистрирано само в DCS. Стойността RelaxMinimumPasswordLengthLimits ще се записва само в Windows Сървър, версия 2004 и по-нова версия.
Регистър на събитията |
Система |
Източник на събитие |
Справочни услуги-SAM |
ИД на събитие |
16977 |
Ниво |
Информация |
Текст на съобщение за събитие |
Домейнът е конфигуриран с помощта на следните настройки за минимална дължина на паролата. МинимумPasswordLength: RelaxMinimumPasswordLengthLimits: МинимумPasswordLengthAudit:За повече информация вж. https://go.microsoft.com/fwlink/?LinkId=2097191. |
ИД на събитие 16978
ИД на събитие 16978 ще се регистрира, когато паролата за акаунт бъде променена и паролата е по-кратка от текущата настройка на MinimumPasswordLengthAudit.
Регистър на събитията |
Система |
Източник на събитие |
Справочни услуги-SAM |
ИД на събитие |
16978 |
Ниво |
Информация |
Текст на съобщение за събитие |
Акаунтът по-долу е конфигуриран да използва парола, чиято дължина е по-кратка от текущата настройка на MinimumPasswordLengthAudit. Име на акаунт: МинимумPasswordLength: МинимумPasswordLengthAudit:За повече информация вж. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Изпълнение на ИД на събитие 16979
ИД на събитие 16979 ще се регистрира, когато настройките на груповите правила за проверка са неправилно конфигурирани. Това събитие ще бъде регистрирано само в DCS. Стойността RelaxMinimumPasswordLengthLimits ще се записва само в Windows Сървър, версия 2004 и по-нова версия. Това е за изпълнение.
Регистър на събитията |
Система |
Източник на събитие |
Справочни услуги-SAM |
ИД на събитие |
16979 |
Ниво |
Грешка |
Текст на съобщение за събитие |
Домейнът е неправилно конфигуриран с настройка на MinimumPasswordLength, която е по-голяма от 14, докато RelaxMinimumPasswordLengthLimits е недефинирана или забранена. Забележка Докато това не бъде коригирано, домейнът ще наложи по-малка настройка на MinimumPasswordLength от 14. В момента конфигурирана стойност на MinimumPasswordLength:За повече информация вж. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Проверка на ИД на събитие 16979
ИД на събитие 16979 ще се регистрира, когато настройките на груповите правила за проверка са неправилно конфигурирани. Това събитие ще бъде регистрирано само в DCS. Едно ново съобщение за регистрационния файл на събитията е включено за проверка като част от тази добавена поддръжка.
Регистър на събитията |
Система |
Източник на събитие |
Справочни услуги-SAM |
ИД на събитие |
16979 |
Ниво |
Грешка |
Текст на съобщение за събитие |
Домейнът е неправилно конфигуриран с настройка на MinimumPasswordLength, която е по-голяма от 14. Забележка Докато това не бъде коригирано, домейнът ще наложи по-малка настройка на MinimumPasswordLength от 14. В момента конфигурирана стойност на MinimumPasswordLength: За повече информация вж. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Указания за промяна на паролата на софтуера
Използвайте максималната дължина на паролата, когато задавате парола в софтуера.
„Хронология“
Въпреки че цялостната стратегия за защита на Microsoft е силно фокусирана върху бъдеще без парола, много клиенти не могат да мигрират далеч от паролите за краткосрочен и среден план. Някои клиенти, които са наясно със защитата, искат да могат да конфигурират настройка за минимална дължина на паролата за домейна по подразбиране, която е по-голяма от 14 знака (например клиентите може да направят това, след като образоят потребителите си да използват по-дълги пароли за достъп вместо традиционните кратки пароли с един маркер). В подкрепа на това искане Windows актуализациите през април 2018 г. за Windows Server 2016 разрешиха промяна на груповите правила, която увеличи минималната дължина на паролата от 14 на 20 знака. Макар че тази промяна изглежда, че поддържа по-дълга парола, в крайна сметка е била недостатъчна и е отхвърлила новата стойност, когато са приложени груповите правила. Тези откази бяха тихи и изискваха подробно тестване, за да се определи, че системата не поддържа по-дълги пароли. За Windows Server 2016 и Windows Server 2019 е включена актуализация за диспечера на акаунти за защита (SAM), за да позволите на системата да работи правилно от край до край с минимална дължина на паролата, по-голяма от 14 знака. За Windows Server 2016 и Windows Server 2019 е включена актуализация за диспечера на акаунти за защита (SAM), за да позволите на системата да работи правилно от край до край с минимална дължина на паролата, по-голяма от 14 знака.
Настройката на правилата MinimumPasswordLength е имала достоверен диапазон от 0 до 14 за много дълго време (много десетилетия) на всички платформи на Microsoft. Тази настройка се отнася както за локалните Windows за защита, така и за Домейните на Active Directory (и домейните NT4 преди това). Стойност на нула (0) означава, че не се изисква парола за никакъв акаунт.
В по-старите версии Windows потребителският интерфейс на груповите правила не разрешава задаването на минимални изисквани дължини на паролите, по-дълги от 14 знака. Въпреки това през април 2018 г. изнесохме актуализациите на Windows 10, които добавиха поддръжка за повече от 14 знака в потребителския интерфейс на груповите правила като част от актуализации, като например:
-
KB 4093120: 17 април 2018 г. – KB4093120 (компилация на ОС 14393.2214)
Тази актуализация включваше следния текст на бележката за изданието:
"Увеличава минималната дължина на паролата в груповите правила на 20 знака".
Някои клиенти, които са инсталирали изданията от април 2018 г., и заместват актуализациите, установиха, че все още не могат да използват по-големи от 14 знака пароли. Разследването установи, че са необходими допълнителни актуализации за инсталиране на компютри с роли на DC, обслужващи по-големи от 14 знака пароли, които са дефинирани в правилата за пароли. Следните актуализации разрешиха Windows Server 2016, Windows 10, версия 1607 и първоначалното издание на домейн контролери на Windows 10 за влизане в услуги и заявки за удостоверяване с повече от 14 знака пароли:
-
KB 4467684: 27 ноември 2018 г. – KB4467684 (компилация на ОС 14393.2639)
Тази актуализация включваше следния текст на бележката за изданието:
"Адресира проблем, който не позволява на домейн контролерите да прилагат правилата за пароли за групови правила, когато минималната дължина на паролата е конфигурирана да бъде по-голяма от 14 знака".
-
KB 4471327: 11 декември 2018 г. – KB4471321 (компилация на ОС 14393.2665)
Някои клиенти са дефинирали по-големи от 14-знакови пароли в правилата след инсталирането на актуализациите от април 2018 г. до актуализациите от октомври 2018 г., които по същество остават несменящи до ноември 2018 г. и декември 2018 г. актуализации или основни домейнови контролери с активирана операционна система, за да обслужват по-големи от 14 знака пароли в правилата, като по този начин премахват връзката време/причинно-следствена връзка между приложението за разрешаване на функции и правила. Независимо дали сте инсталирали групови правила и домейн контролери, се актуализират едновременно или не, може да видите следните странични ефекти:
-
Открити проблеми с приложения, които в момента са несъвместими с по-големи от 14 знака пароли.
-
Открити проблеми, когато домейни, които се състоят от комбинация от версията на изданието на Windows Server 2019 или актуализирани домейнови контролери за 2016 г., които поддържат по-големи от 14 знака пароли и домейни преди Windows Server 2016, които не поддържат по-големи от 14 знака пароли (докато не съществуват и не бъдат инсталирани за Windows Server 2016).
-
След инсталирането на KB4467684клъстерната услуга може да не успее да започне с грешката "2245 (NERR_PasswordTooShort)", ако груповите правила "Минимална дължина на паролата" са конфигурирани с повече от 14 знака.
Указанията за този известен проблем е да зададете правилото по подразбиране за домейна "Минимална дължина на паролата" на по-малко или равно на 14 знака. Работим върху решение и ще предоставим актуализация в предстоящо издание.
Поради по-ранните проблеми поддръжката от страната на DC за по-големи от 14 знака пароли е премахната в актуализациите от януари 2019 г., така че функцията да не може да се използва.