Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Kokkuvõte

Windows 10 18. augustil 2020 välja antud värskendused lisavad järgmiste tugiteenuste toe.

  • Auditisündmused, et teha kindlaks, kas rakendused ja teenused toetavad 15-kohalisi või pikemaid paroole.

  • Windows Serveri versiooni 2004 domeenikontrollerites vähemalt 15 märgi pikkuste minimaalsete paroolipikkuste jõustamine.

Windowsi toetatud versioonid

Parooli pikkuste auditeerimist toetavad järgmised Windowsi versioonid. Vähemalt 15 märgi pikkuste paroolide jõustamist toetatakse Windows Serveri versioonis 2004 ja Windowsi uuemates versioonides.

Windowsi versioon

KB

Tugi

Windows 10, versioon 2004 Windows Serveri versioon 2004

Sisaldub välja antud versioonis

Jõustamine Auditeerimine

Windows 10, versioon 1909 Windows Serveri versioon 1909

KB4566116

Auditeerimine

Windows 10, versioon 1903 Windows Serveri versioon 1903

KB4566116

Auditeerimine

Windows 10, versioon 1809 Windows Serveri versioon 1809 Windows Server 2019

KB4571748

Auditeerimine

Windows 10, versioon 1607 Windows Server 2016

KB4601318

Auditeerimine

Soovitatud juurutus

Domeenikontrollerid

Haldustööjalad

Auditeerimine: Kui auditeerite ainult paroolikasutust, mis on väiksem kui miinimumväärtus, siis juurutage järgmine.

Juurutage värskendused kõigis toetatud DCdes, kus soovite auditeerida.

Juurutage värskendused uute Rühmapoliitika sätete jaoks toetatud haldustööjaamades. Nende tööjaamade abil saate juurutada värskendatud rühmapoliitikaid.

Jõustamine: Kui parooli jõustamine on minimaalse pikkusega, siis juurutage järgmiselt.

Windows Server, versioon 2004 DCs. Kõik arvutid peavad olema selles või uuemas versioonis. Täiendavaid värskendusi pole vaja.

Kasutage Windows 10 versiooni 2004. See versioon sisaldab jõustamise uusi Rühmapoliitika sätteid. Nende tööjaamade abil saate juurutada värskendatud rühmapoliitikaid.

Juurutamisjuhised

Minimaalse parooli pikkuse auditeerimise ja jõustamise toe lisamiseks tehke järgmist.

  1. Juurutage värskendus kõigis toetatud Windowsi versioonides kõigis domeenikontrollerites.

    1. Domeenikontroller: värskendused ja uuemad värskendused lubavad kõigis DCdes tuge kasutaja- või teenusekontode autentimiseks, mis on konfigureeritud kasutama üle 14 märgiseid paroole.

    2. Administratiivtööjada: saate juurutada haldustööjaamade värskendused, et võimaldada uute Rühmapoliitika sätete rakendamist arvutites.

  2. Lubage sätte MinimumPasswordLengthAudit Rühmapoliitika domeenis või metsas, kus on vaja pikemaid paroole. See poliitikasäte peaks olema lubatud domeenikontrolleri vaikepoliitikas, mis on lingitud domeenikontrollerite organisatsiooniüksusega (OU).

  3. Soovitame auditipoliitika lubada kolmeks kuni kuueks kuuks, et tuvastada kogu tarkvara, mis ei toeta üle 14 märgi pikkusi paroole.

  4. Jälgige kataloogiteenuste SAM 16978 sündmuste domeene, mis on logitud tarkvaraga, mis haldavad paroole kolm kuni kuus kuud. Te ei pea jälgima kataloogiteenuste SAM 16978 sündmusi, mis on sisse logitud kasutajakontodega.

    1. Kui see on võimalik, konfigureerige tarkvara kasutama pikemat paroolipikkust.

    2. Töötage koos tarkvaratarnijaga, et värskendada tarkvara pikemate paroolide kasutamiseks.

    3. Juurutage selle konto peene parooli poliitika , kasutades väärtust, mis vastab tarkvara kasutatavale parooli pikkusele.

    4. Tarkvara, mis haldab konto paroole, kuid ei kasuta automaatselt pikki paroole ja ei saa konfigureerida kasutama pikki paroole, saab nende kontode jaoks kasutada peene parooli poliitikat .

  5. Kui kõik kataloogiteenuste SAM 16978 sündmused on adresseeritud, lubage minimaalne parool. Selleks tehke järgmist.

    1. Juurutage Windows Serveri versioon, mis toetab jõustamist kõigis arvutites (sh Read-Only DCdes).

    2. Lubage kõigis arvutites Rühmapoliitika RelaxMinimumPasswordLengthLimits.

    3. Konfigureerige kõigis DCdes Rühmapoliitika MinimumPasswordLength.

Rühmapoliitika

Poliitikatee ja sätte nimi, toetatud versioonid

Kirjeldus

Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turbesätted > kontopoliitikad -> paroolipoliitika -> parooli minimaalse pikkuse auditeerimisesätte nimi: MinimumPasswordLengthAudit

Toetatud:

  • Windows 10, versioon 1607

  • Windows Server 2016

  • Windows 10, versioon 1809

  • Windows Server, versioon 1809

  • Windows 10, versioon 1903

  • Windows Server, versioon 1903

  • Windows 10, versioon 1909

  • Windows Server, versioon 1909

  • Windows 10, versioon 2004

  • Windows Server, versioon 2004

  • ja uuemad versioonid

Taaskäivitamine pole nõutav

Parooli miinimumpikkuse audit

See turbesäte määrab parooli miinimumpikkuse, mille kohta väljastatakse parooli pikkuse auditi hoiatussündmused. Seda sätet saab konfigureerida vahemikus 1–128.

Peaksite selle sätte lubama ja konfigureerima ainult siis, kui proovite kindlaks teha, millist mõju avaldab teie keskkonnas parooli miinimumpikkuse sätte suurendamine.

Kui seda sätet pole määratletud, ei väljastata auditisündmusi.

Kui see säte on määratletud ja väiksem kui parooli miinimumpikkuse säte või sellega võrdne, siis auditisündmusi ei väljastata.

Kui see säte on määratletud ja suurem kui parooli miinimumpikkuse säte ja uue konto parooli pikkus on sellest sättest väiksem, väljastatakse auditisündmus.

Poliitikatee ja sätte nimi, toetatud versioonid

Kirjeldus

Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turbesätted > kontopoliitikad -> paroolipoliitika -> Parooli miinimumpikkuse piirangute määramineMäära nimi: RelaxMinimumPasswordLengthLimits

Toetatud:

  • Windows 10, versioon 2004

  • Windows Server, versioon 2004

  • ja uuemad versioonid

Taaskäivitamine pole nõutav

Parooli minimaalse pikkuse pärandpiirangute leevendamine

See säte määrab, kas parooli miinimumpikkuse sätet saab suurendada üle pärandpiirangu 14.

Kui see säte pole määratletud, võib parooli miinimumpikkus olla kuni 14.

Kui see säte on määratletud ja keelatud, võib parooli miinimumpikkus olla konfigureeritud mitte rohkem kui 14.

Kui see säte on määratletud ja lubatud, võib parooli miinimumpikkus olla konfigureeritud rohkem kui 14.

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Poliitikatee ja sätte nimi, toetatud versioonid

Kirjeldus

Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turbesätted > kontopoliitikad -> paroolipoliitika -> Parooli miinimumpikkusesätte nimi: MinimumPasswordLength

Toetatud:

  • Windows 10, versioon 2004

  • Windows Server, versioon 2004

  • ja uuemad versioonid

Taaskäivitamine pole nõutav

See turbesäte määratleb vähima arvu märke, mida kasutajakonto parool võib sisaldada.

Selle sätte maksimumväärtus oleneb parooli miinimumpikkuse piirangute sätte Relax väärtusest.

Kui säte Lõdvestage parooli minimaalse pikkuse piirangud pole määratletud, võib see säte olla konfigureeritud vahemikus 0–14.

Kui säte Leevenda parooli minimaalse pikkuse piirangud on määratletud ja keelatud, võib see säte olla konfigureeritud vahemikus 0–14.

Kui säte Leevenda parooli minimaalse pikkuse piirangud on määratletud ja lubatud, võib see säte olla konfigureeritud vahemikus 0–128.

Nõutava arvu märkide seadmine 0-ks tähendab, et parooli pole vaja.

Märkus Vaikimisi järgivad liikme arvutid oma domeenikontrollerite konfiguratsiooni.

Vaikeväärtused:

  • 7 domeenikontrollerite kohta

  • 0 autonoomsetes serverites

Kui konfigureerite selle sätte, mis on suurem kui 14, võib see mõjutada ühilduvust klientide, teenuste ja rakendustega. Soovitame konfigureerida selle sätte, mis on suurem kui 14, pärast parooli miinimumpikkuse auditisätte kasutamist, et testida võimalikke mittevastavusi uues sättes.

Windowsi sündmuselogi sõnumid

Selle lisatud toe osana on lisatud kolm uut sündmuse ID logi sõnumit.

Sündmuse ID 16977

Sündmuse ID 16977 logitakse, kui poliitikasätted MinimumPasswordLength, RelaxMinimumPasswordLengthLimits või MinimumPasswordLengthAudit konfigureeritakse või muudetakse algselt Rühmapoliitika. See sündmus logitakse ainult DC-des. RelaxMinimumPasswordLengthLimits väärtus logitakse ainult Windows Serveri versioonis 2004 ja uuemates versioonides.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16977

Tase

Teave

Sündmuseteate tekst

Domeen on konfigureeritud parooli pikkusega seotud minimaalsete sätete abil.

MiinimumpasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Sündmuse ID 16978

Kui konto parooli muudetakse, logitakse sündmuse ID 16978 ja parool on lühem kui praegune sätte MinimumPasswordLengthAudit väärtus.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16978

Tase

Teave

Sündmuseteate tekst

Järgmine konto on konfigureeritud kasutama parooli, mille pikkus on praegusest sättest MinimumPasswordLengthAudit lühem.

Kontonimi: MiinimumpasswordLength: MinimumPasswordLengthAudit:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Sündmuse ID 16979 jõustamine

Sündmuse ID 16979 logitakse, kui auditeerimise Rühmapoliitika sätted on valesti konfigureeritud. See sündmus logitakse ainult DC-des. RelaxMinimumPasswordLengthLimits väärtus logitakse ainult Windows Serveri versioonis 2004 ja uuemates versioonides. See on jõustamiseks.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16979

Tase

Tõrge

Sündmuseteate tekst

Domeen on valesti konfigureeritud sättega MinimumPasswordLength , mis on suurem kui 14, samas kui RelaxMinimumPasswordLengthLimits on määratlemata või keelatud.

Märkus Kuni selle parandamiseni jõustab domeen väiksema sätte MinimumPasswordLength väärtusega 14.Praegu konfigureeritud miinimumpasswordLength-väärtus:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Sündmuse ID 16979 auditeerimine

Sündmuse ID 16979 logitakse, kui auditeerimise Rühmapoliitika sätted on valesti konfigureeritud. See sündmus logitakse ainult DC-des. Selle lisatud toe osana on auditi jaoks lisatud üks uus sündmuselogi teade.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16979

Tase

Tõrge

Sündmuseteate tekst

Domeen on valesti konfigureeritud sättega MinimumPasswordLength, mis on suurem kui 14.

Märkus Kuni selle parandamiseni jõustab domeen väiksema sätte MinimumPasswordLength väärtusega 14.

Praegu konfigureeritud miinimumpasswordLength-väärtus :

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Tarkvara parooli muutmise juhised

Kasutage tarkvaras parooli seadmisel maksimaalset parooli pikkust.

Ajalugu

Kuigi Üldine Microsofti turbestrateegia keskendub kindlalt parooli vähemale tulevikule, ei saa paljud kliendid paroolidest lühikeses ja keskmises perspektiivis migreerida. Mõned turbeteadlikud kliendid soovivad konfigureerida domeeni parooli miinimumpikkuse vaikesätte, mis on pikem kui 14 märki (nt võivad kliendid seda teha pärast seda, kui on õpetanud oma kasutajaid kasutama traditsiooniliste lühikeste ühekordsete paroolide asemel pikemaid paroole). Selle taotluse toetuseks lubas Windows Teabevärskendused 2018. aasta aprillis Windows Server 2016 jaoks Rühmapoliitika muudatuse, mis suurendas parooli miinimumpikkust 14-lt 20 märgile. Kuigi see muudatus toetas pikemat parooli, oli see lõppkokkuvõttes ebapiisav ja lükkas uue väärtuse tagasi Rühmapoliitika rakendamisel. Need hülgamised olid vaiksed ja nõudsid üksikasjalikku testimist, et teha kindlaks, kas süsteem ei toetanud pikemaid paroole. Turbekontohalduri (SAM) kihi järelvärskendus lisati nii Windows Server 2016 kui ka Windows Server 2019 jaoks, et süsteem saaks õigesti töötada parooli minimaalse pikkusega üle 14 märgi. Turbekontohalduri (SAM) kihi järelvärskendus lisati nii Windows Server 2016 kui ka Windows Server 2019 jaoks, et süsteem saaks õigesti töötada parooli minimaalse pikkusega üle 14 märgi.

Poliitikasäte MinimumPasswordLength on olnud väga pikka aega (palju aastakümneid) kõigis Microsofti platvormides lubatud vahemikus 0–14. See säte rakendub nii kohalikele Windowsi turbesätetele kui ka Active Directoryle (ja nt4 domeenidele enne seda). Väärtus null (0) tähendab, et ühegi konto jaoks pole parooli vaja.

Windowsi varasemates versioonides ei lubanud Rühmapoliitika kasutajaliides minimaalselt nõutava parooli pikkust, mis on pikem kui 14 märki. 2018. aasta aprillis andsime välja Windows 10 värskendused, mis lisasid Rühmapoliitika kasutajaliideses enam kui 14 märgi pikkuse toe järgmiste värskenduste osana.

  • KB 4093120: 17. aprill 2018 – KB4093120 (operatsioonisüsteemi järk 14393.2214)

See värskendus sisaldas järgmist väljalaskemärkme teksti:

"Suurendab parooli miinimumpikkust Rühmapoliitika 20 märgini."

Mõned kliendid, kes installisid 2018. aasta aprilli väljaanded ja asendasid värskendused, leidsid, et nad ei saa siiski kasutada üle 14 märgiseid paroole. Uurimise käigus tuvastati, et DC rolliarvutitesse tuleb installida täiendavad värskendused, mis teenindavad paroolipoliitikas määratletud üle 14 märgiseid paroole. Järgmised värskendused lubasid Windows Server 2016 Windows 10 versiooni 1607 ja Windows 10 domeenikontrollerite algse väljaande teenuse sisselogimistele ja autentimistaotlustele, millel on rohkem kui 14-kohalised paroolid.

  • KB 4467684: 27. november 2018 – KB4467684 (operatsioonisüsteemi järk 14393.2639)

See värskendus sisaldas järgmist väljalaskemärkme teksti:

"Lahendab probleemi, mis takistab domeenikontrolleritel rakendada Rühmapoliitika paroolipoliitikat, kui parooli miinimumpikkus on konfigureeritud olema pikem kui 14 märki."

  • KB 4471327: 11. detsember 2018 – KB4471321 (operatsioonisüsteemi järk 14393.2665)

Mõned kliendid määratlesid poliitikas pärast 2018. aasta aprillist kuni oktoobrini 2018 poliitikas üle 14-kohalised paroolid, mis jäid sisuliselt seisma kuni 2018. aasta novembri ja detsembrini, või operatsioonisüsteemi toega omad domeenikontrollerid, et teenindada poliitikas üle 14 märgiseid paroole, eemaldades seega funktsiooni lubamise ja poliitikarakenduse vahelise aja/põhjusliku seose. Olenemata sellest, kas installisite Rühmapoliitika ja domeenikontrolleri värskendused samal ajal või mitte, võite näha järgmisi kõrvalmõjusid.

  • Lahendatud on probleemid rakendustega, mis praegu ei ühildu enam kui 14 märgist suuremate paroolidega.

  • Ilmnenud on probleemid, kui domeenid, mis koosnevad Windows Server 2019 väljalaskeversiooni või värskendatud 2016 DCdest, mis toetavad suuremaid kui 14-kohalisi paroole ja Windows Server 2016-eelseid DC-sid, mis ei toeta rohkem kui 14-kohalisi paroole (kuni tagapordid on olemas ja installitud Windows Server 2016 jaoks).

  • Pärast VÄRSKENDUSE KB4467684 installimist ei pruugi klastriteenus käivituda tõrkega "2245 (NERR_PasswordTooShort)", kui Rühmapoliitika "Parooli miinimumpikkus" on konfigureeritud rohkem kui 14 märgiga.

    Selle teadaoleva probleemi juhisteks oli määrata domeeni vaikepoliitika "Parooli miinimumpikkus" väärtuseks kuni 14 märki. Tegeleme lahenduse otsimisega ja lisame selle mõnda edaspidi välja antavasse värskendusse.

Varasemate probleemide tõttu eemaldati 2019. aasta jaanuari värskendustes üle 14 märgist suuremate paroolide tugi, et seda funktsiooni ei saaks kasutada.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.