Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Resumen

Windows 10 actualizaciones publicadas el 18 de agosto de 2020 admiten lo siguiente:

  • Eventos de auditoría para identificar si las aplicaciones y servicios admiten contraseñas de 15 caracteres o más.

  • Cumplimiento de longitudes mínimas de contraseña de 15 caracteres o más en Windows Server, versión 2004 controladores de dominio (DCs).

Versiones compatibles de Windows

La auditoría de longitudes de contraseñas es compatible con las siguientes versiones de Windows. La aplicación de longitudes mínimas de contraseña de 15 caracteres o más se admite en Windows Server, versión 2004 y en versiones posteriores de Windows.

Versión de Windows

KB

Soporte técnico

Windows 10, versión 2004 Windows Server versión 2004

Incluida en la versión publicada

Cumplimiento Auditoría

Windows 10, versión 1909 Windows Server versión 1909

KB4566116

Auditoría

Windows 10, versión 1903 Windows Server versión 1903

KB4566116

Auditoría

Windows 10, versión 1809 Windows Versión del servidor 1809 Windows Server 2019

KB4571748

Auditoría

Windows 10, versión 1607 Windows Server 2016

KB4601318

Auditoría

Implementación sugerida

Controladores de dominio

Estaciones de trabajo administrativas

Auditoría: Si solo audita el uso de contraseñas por debajo de un valor mínimo, implemente lo siguiente.

Implemente actualizaciones en todos los controladores de dominio compatibles en los que se desee realizar auditorías.

Implemente actualizaciones en estaciones de trabajo administrativas compatibles para la nueva configuración de directiva de grupo. Use estas estaciones de trabajo para implementar directivas de grupo actualizadas.

Cumplimiento: Si se desea aplicar la contraseña de longitud mínima, implemente lo siguiente.

Windows Server, DCs de la versión 2004. Todos los EQUIPOS deben estar en esta versión o en una versión posterior. No se necesitan actualizaciones adicionales.

Use Windows 10, versión 2004. La nueva configuración de directiva de grupo para la aplicación se incluye en esta versión. Use estas estaciones de trabajo para implementar directivas de grupo actualizadas.

Directrices de implementación

Para agregar compatibilidad con la auditoría y la aplicación de longitud mínima de contraseña, siga estos pasos:

  1. Implemente la actualización en todas las versiones Windows compatibles en todos los controladores de dominio.

    1. Controlador de dominio: las actualizaciones y las actualizaciones posteriores habilitan el soporte técnico en todos los controladores de dominio para autenticar cuentas de usuario o servicio configuradas para usar contraseñas de más de 14 caracteres.

    2. Estación de trabajo administrativa: Implemente las actualizaciones en estaciones de trabajo administrativas para permitir la aplicación de la nueva configuración de directiva de grupo a los controladores de dominio.

  2. Habilite la configuración De directiva de grupo MinimumPasswordLengthAudit en un dominio o bosque en el que se desean contraseñas más necesarias. Esta configuración de directiva debe habilitarse en la directiva predeterminada del controlador de dominio vinculada a la unidad organizativa (OU) de controladores de dominio.

  3. Se recomienda dejar la directiva de auditoría habilitada durante tres o seis meses para detectar todo el software que no admite contraseñas de más de 14 caracteres.

  4. Supervisar dominios de eventos de Directory-Services-SAM 16978 registrados en software que administraba contraseñas durante tres a seis meses. No es necesario supervisar los eventos de Directory-Services-SAM 16978 registrados en cuentas de usuario.

    1. Si es posible, configure el software para que use una longitud de contraseña más larga.

    2. Trabaje con el proveedor de software para actualizar el software para usar contraseñas más largas.

    3. Implemente una directiva de contraseñas de grano fino para esta cuenta mediante un valor que coincida con la longitud de contraseña usada por el software.

    4. Para el software que administra contraseñas de cuenta pero no usa automáticamente contraseñas largas y no se puede configurar para usar contraseñas largas, se puede usar una directiva de contraseñas muy adecuada para estas cuentas.

  5. Después de que se solucione todos los eventos de Directory-Services-SAM 16978, habilite una contraseña mínima. Para ello, siga estos pasos:

    1. Implemente una versión de Windows server que admita la aplicación en todos los EQUIPOS (incluidos Read-Only los DCs).

    2. Habilite la directiva de grupo RelaxMinimumPasswordLengthLimits en todos los DCs.

    3. Configure la directiva de grupo MinimumPasswordLength en todos los EQUIPOS.

Directiva de grupo

Ruta de la directiva y nombre de configuración, versiones compatibles

Descripción

Ruta de la directiva: Configuración del equipo > Windows Configuración > seguridad Configuración > cuenta -> directiva de contraseña -> Nombre de configuración de la auditoría longitud mínima de contraseña: MinimumPasswordLengthAudit

Compatible con:

  • Windows 10, versión 1607

  • Windows Server 2016

  • Windows 10, versión 1809

  • Windows Servidor, versión 1809

  • Windows 10, versión 1903

  • Windows Servidor, versión 1903

  • Windows 10, versión 1909

  • Windows Servidor, versión 1909

  • Windows 10, versión 2004

  • Windows Servidor, versión 2004

  • y versiones posteriores

No es necesario reiniciar

Auditoría de longitud mínima de contraseña

Esta configuración de seguridad determina la longitud mínima de contraseña para la que se emiten los eventos de advertencia de auditoría de longitud de contraseña. Esta configuración puede configurarse de 1 a 128.

Solo debe habilitar y configurar esta configuración cuando intente determinar el posible efecto de aumentar la configuración de longitud mínima de contraseña en su entorno.

Si esta configuración no está definida, los eventos de auditoría no se emitirán.

Si esta configuración está definida y es menor o igual que la configuración de longitud mínima de contraseña, los eventos de auditoría no se emitirán.

Si esta configuración está definida y es mayor que la configuración de longitud mínima de contraseña, y la longitud de una contraseña de cuenta nueva es menor que esta configuración, se emitirá un evento de auditoría.

Ruta de la directiva y nombre de configuración, versiones compatibles

Descripción

Ruta de la directiva: Configuración del equipo > Windows Configuración > seguridad Configuración > directivas de cuenta -> directiva de contraseña -> Relajar límites mínimos de longitud de contraseña Establecer nombre: RelaxMinimumPasswordLengthLimits

Compatible con:

  • Windows 10, versión 2004

  • Windows Servidor, versión 2004

  • y versiones posteriores

No es necesario reiniciar

Límites heredados de longitud mínima de contraseña

Esta configuración controla si la configuración de longitud mínima de contraseña se puede aumentar más allá del límite heredado de 14.

Si esta configuración no está definida, es posible que la longitud mínima de la contraseña no se configure en un máximo de 14.

Si esta configuración está definida y deshabilitada, la longitud mínima de la contraseña puede configurarse como no más de 14.

Si esta configuración está definida y habilitada, la longitud mínima de la contraseña puede configurarse más de 14.

Para obtener más información, vea https://go.microsoft.com/fwlink/?LinkId=2097191.

Ruta de la directiva y nombre de configuración, versiones compatibles

Descripción

Ruta de la directiva: Configuración del equipo > Windows Configuración > seguridad Configuración > cuenta -> directiva de contraseña -> Longitud mínima de contraseña Nombre de configuración: MinimumPasswordLength

Compatible con:

  • Windows 10, versión 2004

  • Windows Servidor, versión 2004

  • y versiones posteriores

No es necesario reiniciar

Esta configuración de seguridad determina el menor número de caracteres que puede contener una contraseña para una cuenta de usuario.

El valor máximo de esta configuración depende del valor de la configuración Límites mínimos de longitud de contraseña de Relax.

Si no se define la configuración Límites mínimos de longitud de contraseña de Relax, es posible que esta configuración se configure de 0 a 14.

Si la configuración Límites mínimos de longitud de contraseña de Relax está definida y deshabilitada, esta configuración puede configurarse de 0 a 14.

Si se define y habilita la configuración De los límites mínimos de longitud de contraseña, esta opción puede configurarse de 0 a 128.

Establecer el número necesario de caracteres en 0 significa que no se requiere ninguna contraseña.

Nota De forma predeterminada, los equipos miembros siguen la configuración de sus controladores de dominio.

Valores predeterminados:

  • 7 en controladores de dominio

  • 0 en servidores independientes

Configurar esta configuración mayor que 14 puede afectar a la compatibilidad con clientes, servicios y aplicaciones. Le recomendamos que solo configure esta configuración mayor que 14 después de usar la configuración de auditoría Longitud mínima de contraseña para comprobar posibles incompatibilidades en la nueva configuración.

Windows de registro de eventos

Como parte de esta compatibilidad agregada, se incluyen tres nuevos mensajes de registro de id. de evento.

Id. de evento 16977

El id. de evento 16977 se registrará cuando la configuración de directiva MinimumPasswordLength, RelaxMinimumPasswordLengthLimitso MinimumPasswordLengthAudit se configuren o modifiquen inicialmente en la directiva de grupo. Este evento solo se registrará en los controladores de dominio. El valor RelaxMinimumPasswordLengthLimits solo se inicia sesión en Windows Server, versión 2004 y versiones posteriores de los DCs.

Registro de eventos

Sistema

Origen del evento

Directory-Services-SAM

Id. de evento

16977

Nivel

Información

Texto del mensaje de evento

El dominio se configura mediante la siguiente configuración mínima relacionada con la longitud de la contraseña.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

Para obtener más información, vea https://go.microsoft.com/fwlink/?LinkId=2097191.

Id. de evento 16978

El id. de evento 16978 se registrará cuando se cambie la contraseña de una cuenta y la contraseña sea más corta que la configuración actual de MinimumPasswordLengthAudit.

Registro de eventos

Sistema

Origen del evento

Directory-Services-SAM

Id. de evento

16978

Nivel

Información

Texto del mensaje de evento

La siguiente cuenta está configurada para usar una contraseña cuya longitud es más corta que la configuración actual de MinimumPasswordLengthAudit.

AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:

Para obtener más información, vea https://go.microsoft.com/fwlink/?LinkId=2097191.

Event ID 16979 Enforcement

El id. de evento 16979 se registrará cuando la configuración de directiva de grupo de auditoría esté mal configurada. Este evento solo se registrará en los controladores de dominio. El valor RelaxMinimumPasswordLengthLimits solo se registrará en Windows Server, versión 2004 y versiones posteriores de los DCs. Esto es para enforcment.

Registro de eventos

Sistema

Origen del evento

Directory-Services-SAM

Id. de evento

16979

Nivel

Error

Texto del mensaje de evento

El dominio está configurado incorrectamente con una configuración MinimumPasswordLength mayor que 14, mientras que RelaxMinimumPasswordLengthLimits es indefinido o deshabilitado.

Nota Hasta que esto se corrija, el dominio exigirá una configuración MínimaPasswordLength más pequeña de 14.Valor MinimumPasswordLength configurado actualmente:

Para obtener más información, vea https://go.microsoft.com/fwlink/?LinkId=2097191.

Auditoría de id. de evento 16979

El id. de evento 16979 se registrará cuando la configuración de directiva de grupo de auditoría esté mal configurada. Este evento solo se registrará en los controladores de dominio. Se incluye un nuevo mensaje de registro de eventos para auditoría como parte de esta compatibilidad agregada.

Registro de eventos

Sistema

Origen del evento

Directory-Services-SAM

Id. de evento

16979

Nivel

Error

Texto del mensaje de evento

El dominio está configurado incorrectamente con una configuración MinimumPasswordLength mayor que 14.

Nota Hasta que esto se corrija, el dominio exigirá una configuración MínimaPasswordLength más pequeña de 14.

Valor MinimumPasswordLength configurado actualmente:

Para obtener más información, vea https://go.microsoft.com/fwlink/?LinkId=2097191.

Instrucciones para el cambio de contraseña de software

Use la longitud máxima de contraseña al configurar una contraseña en el software.

Historial

Aunque la estrategia de seguridad general de Microsoft está firmemente centrada en un futuro sin contraseñas, muchos clientes no pueden migrar de las contraseñas a corto y medio plazo. Algunos clientes conscientes de la seguridad quieren poder configurar una configuración predeterminada de longitud mínima de contraseña de dominio superior a 14 caracteres (por ejemplo, es posible que los clientes lo hagan después de educar a sus usuarios para que usen contraseñas más largas en lugar de las contraseñas de token únicas y cortas tradicionales). Para admitir esta solicitud, Windows Actualizaciones de abril de 2018 para Windows Server 2016 habilitó un cambio de directiva de grupo que aumentaba la longitud mínima de contraseña de 14 a 20 caracteres. Aunque este cambio parecía admitir contraseñas más largas, finalmente no fue suficiente y rechazó el nuevo valor cuando se aplicó la directiva de grupo. Estos rechazos eran silenciosos y requerían pruebas detalladas para determinar que el sistema no era compatible con contraseñas más largas. Se ha incluido una actualización de seguimiento de la capa administrador de cuentas de seguridad (SAM) tanto para Windows Server 2016 como para Windows Server 2019 con el fin de permitir que el sistema funcione correctamente de un extremo a otro con una longitud mínima de contraseña superior a 14 caracteres. Se ha incluido una actualización de seguimiento de la capa administrador de cuentas de seguridad (SAM) tanto para Windows Server 2016 como para Windows Server 2019 con el fin de permitir que el sistema funcione correctamente de un extremo a otro con una longitud mínima de contraseña superior a 14 caracteres.

La configuración de directiva MinimumPasswordLength ha tenido un rango permitido de 0 a 14 durante mucho tiempo (muchas décadas) en todas las plataformas de Microsoft. Esta configuración se aplica tanto a la configuración de seguridad Windows local como a Active Directory (y a los dominios NT4 anteriores). Un valor de cero (0) implica que no se requiere ninguna contraseña para ninguna cuenta.

En versiones anteriores de Windows, la interfaz de usuario de directiva de grupo no habilitaba la configuración de longitudes mínimas de contraseña necesarias de más de 14 caracteres. Sin embargo, en abril de 2018, se publicaron las actualizaciones de Windows 10 que agregaron compatibilidad con más de 14 caracteres en la interfaz de usuario de directiva de grupo como parte de actualizaciones como:

  • KB 4093120:17 de abril de 2018: KB4093120 (compilación 14393.2214 del sistema operativo)

Esta actualización incluía el siguiente texto de nota de versión:

"Aumenta la longitud mínima de contraseña en directiva de grupo a 20 caracteres".

Algunos clientes que instalaron las versiones de abril de 2018 y las actualizaciones superseding, encontraron que todavía no podían usar contraseñas superiores a 14 caracteres. La investigación identificó que era necesario instalar actualizaciones adicionales en equipos de rol de DC que atendiendo las contraseñas de más de 14 caracteres que se definieron en la directiva de contraseñas. Las siguientes actualizaciones habilitaron Windows Server 2016, Windows 10, versión 1607 y la versión inicial de controladores de dominio de Windows 10 para dar servicio a las solicitudes de autenticación y inicios de sesión con contraseñas de más de 14 caracteres:

  • KB 4467684:27 de noviembre de 2018: KB4467684 (compilación del sistema operativo 14393.2639)

Esta actualización incluía el siguiente texto de nota de versión:

"Soluciona un problema que impide que los controladores de dominio apliquen la directiva de contraseña de directiva de grupo cuando la longitud mínima de la contraseña está configurada para tener más de 14 caracteres".

  • KB 4471327:11 de diciembre de 2018: KB4471321 (compilación 14393.2665 del sistema operativo)

Algunos clientes definieron contraseñas de más de 14 caracteres en la directiva después de instalar las actualizaciones de abril de 2018 a octubre de 2018, que básicamente permanecieron inactivas hasta las actualizaciones de noviembre de 2018 y diciembre de 2018, o bien los controladores de dominio nativos habilitados para usar contraseñas de más de 14 caracteres en la directiva, quitando así el vínculo de tiempo y relación entre habilitación de características y aplicación de directiva. Independientemente de si instaló actualizaciones de directiva de grupo y controlador de dominio al mismo tiempo o no, es posible que vea los siguientes efectos secundarios:

  • Problemas expuestos con aplicaciones incompatibles actualmente con contraseñas de más de 14 caracteres.

  • Problemas expuestos cuando los dominios que constan de una combinación de la versión de lanzamiento de Windows Server 2019 o los DCs actualizados de 2016 que admiten contraseñas de más de 14 caracteres y DCs anteriores Windows Server 2016 que no admiten contraseñas de más de 14 caracteres (hasta que existen backports y se instalan para Windows Server 2016).

  • Después de instalar KB4467684,es posible que el servicio de clúster no empiece con el error "2245 (NERR_PasswordTooShort)" si la directiva de grupo "Longitud mínima de contraseña" está configurada con más de 14 caracteres.

    Las instrucciones para este problema conocido era establecer la directiva predeterminada de dominio "Longitud mínima de contraseña" en menor o igual que 14 caracteres. Estamos trabajando en una resolución y proporcionaremos una actualización en una próxima versión.

Debido a los problemas anteriores, la compatibilidad del lado DC para contraseñas de más de 14 caracteres se eliminó en las actualizaciones de enero de 2019 para que no se pueda usar la característica.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.