Kokkuvõte
Windows 10 18. augustil 2020 välja antud värskendused lisavad järgmiste tugiteenuste toe.
-
Auditisündmused, et teha kindlaks, kas rakendused ja teenused toetavad 15-kohalisi või pikemaid paroole.
-
Windows Serveri versiooni 2004 domeenikontrollerites vähemalt 15 märgi pikkuste minimaalsete paroolipikkuste jõustamine.
Windowsi toetatud versioonid
Parooli pikkuste auditeerimist toetavad järgmised Windowsi versioonid. Vähemalt 15 märgi pikkuste paroolide jõustamist toetatakse Windows Serveri versioonis 2004 ja Windowsi uuemates versioonides.
Windowsi versioon |
KB |
Tugi |
Windows 10, versioon 2004 Windows Serveri versioon 2004 |
Sisaldub välja antud versioonis |
Jõustamine Auditeerimine |
Windows 10, versioon 1909 Windows Serveri versioon 1909 |
Auditeerimine |
|
Windows 10, versioon 1903 Windows Serveri versioon 1903 |
Auditeerimine |
|
Windows 10, versioon 1809 Windows Serveri versioon 1809 Windows Server 2019 |
Auditeerimine |
|
Windows 10, versioon 1607 Windows Server 2016 |
Auditeerimine |
Soovitatud juurutus
Domeenikontrollerid |
Haldustööjalad |
|
Auditeerimine: Kui auditeerite ainult paroolikasutust, mis on väiksem kui miinimumväärtus, siis juurutage järgmine. |
Juurutage värskendused kõigis toetatud DCdes, kus soovite auditeerida. |
Juurutage värskendused uute Rühmapoliitika sätete jaoks toetatud haldustööjaamades. Nende tööjaamade abil saate juurutada värskendatud rühmapoliitikaid. |
Jõustamine: Kui parooli jõustamine on minimaalse pikkusega, siis juurutage järgmiselt. |
Windows Server, versioon 2004 DCs. Kõik arvutid peavad olema selles või uuemas versioonis. Täiendavaid värskendusi pole vaja. |
Kasutage Windows 10 versiooni 2004. See versioon sisaldab jõustamise uusi Rühmapoliitika sätteid. Nende tööjaamade abil saate juurutada värskendatud rühmapoliitikaid. |
Juurutamisjuhised
Minimaalse parooli pikkuse auditeerimise ja jõustamise toe lisamiseks tehke järgmist.
-
Juurutage värskendus kõigis toetatud Windowsi versioonides kõigis domeenikontrollerites.
-
Domeenikontroller: värskendused ja uuemad värskendused lubavad kõigis DCdes tuge kasutaja- või teenusekontode autentimiseks, mis on konfigureeritud kasutama üle 14 märgiseid paroole.
-
Administratiivtööjada: saate juurutada haldustööjaamade värskendused, et võimaldada uute Rühmapoliitika sätete rakendamist arvutites.
-
-
Lubage sätte MinimumPasswordLengthAudit Rühmapoliitika domeenis või metsas, kus on vaja pikemaid paroole. See poliitikasäte peaks olema lubatud domeenikontrolleri vaikepoliitikas, mis on lingitud domeenikontrollerite organisatsiooniüksusega (OU).
-
Soovitame auditipoliitika lubada kolmeks kuni kuueks kuuks, et tuvastada kogu tarkvara, mis ei toeta üle 14 märgi pikkusi paroole.
-
Jälgige kataloogiteenuste SAM 16978 sündmuste domeene, mis on logitud tarkvaraga, mis haldavad paroole kolm kuni kuus kuud. Te ei pea jälgima kataloogiteenuste SAM 16978 sündmusi, mis on sisse logitud kasutajakontodega.
-
Kui see on võimalik, konfigureerige tarkvara kasutama pikemat paroolipikkust.
-
Töötage koos tarkvaratarnijaga, et värskendada tarkvara pikemate paroolide kasutamiseks.
-
Juurutage selle konto peene parooli poliitika , kasutades väärtust, mis vastab tarkvara kasutatavale parooli pikkusele.
-
Tarkvara, mis haldab konto paroole, kuid ei kasuta automaatselt pikki paroole ja ei saa konfigureerida kasutama pikki paroole, saab nende kontode jaoks kasutada peene parooli poliitikat .
-
-
Kui kõik kataloogiteenuste SAM 16978 sündmused on adresseeritud, lubage minimaalne parool. Selleks tehke järgmist.
-
Juurutage Windows Serveri versioon, mis toetab jõustamist kõigis arvutites (sh Read-Only DCdes).
-
Lubage kõigis arvutites Rühmapoliitika RelaxMinimumPasswordLengthLimits.
-
Konfigureerige kõigis DCdes Rühmapoliitika MinimumPasswordLength.
-
Rühmapoliitika
Poliitikatee ja sätte nimi, toetatud versioonid |
Kirjeldus |
Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turbesätted > kontopoliitikad -> paroolipoliitika -> parooli minimaalse pikkuse auditeerimise sätte nimi: MinimumPasswordLengthAuditToetatud:
Taaskäivitamine pole nõutav |
Parooli miinimumpikkuse audit See turbesäte määrab parooli miinimumpikkuse, mille kohta väljastatakse parooli pikkuse auditi hoiatussündmused. Seda sätet saab konfigureerida vahemikus 1–128. Peaksite selle sätte lubama ja konfigureerima ainult siis, kui proovite kindlaks teha, millist mõju avaldab teie keskkonnas parooli miinimumpikkuse sätte suurendamine. Kui seda sätet pole määratletud, ei väljastata auditisündmusi. Kui see säte on määratletud ja väiksem kui parooli miinimumpikkuse säte või sellega võrdne, siis auditisündmusi ei väljastata. Kui see säte on määratletud ja suurem kui parooli miinimumpikkuse säte ja uue konto parooli pikkus on sellest sättest väiksem, väljastatakse auditisündmus. |
Poliitikatee ja sätte nimi, toetatud versioonid |
Kirjeldus |
Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turbesätted > kontopoliitikad -> paroolipoliitika -> Parooli miinimumpikkuse piirangute määramineMäära nimi: RelaxMinimumPasswordLengthLimitsToetatud:
Taaskäivitamine pole nõutav |
Parooli minimaalse pikkuse pärandpiirangute leevendamine See säte määrab, kas parooli miinimumpikkuse sätet saab suurendada üle pärandpiirangu 14. Kui see säte pole määratletud, võib parooli miinimumpikkus olla kuni 14. Kui see säte on määratletud ja keelatud, võib parooli miinimumpikkus olla konfigureeritud mitte rohkem kui 14. Kui see säte on määratletud ja lubatud, võib parooli miinimumpikkus olla konfigureeritud rohkem kui 14. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191. |
Poliitikatee ja sätte nimi, toetatud versioonid |
Kirjeldus |
Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turbesätted > kontopoliitikad -> paroolipoliitika -> Parooli miinimumpikkuse sätte nimi: MinimumPasswordLengthToetatud:
Taaskäivitamine pole nõutav |
See turbesäte määratleb vähima arvu märke, mida kasutajakonto parool võib sisaldada. Selle sätte maksimumväärtus oleneb parooli miinimumpikkuse piirangute sätte Relax väärtusest. Kui säte Lõdvestage parooli minimaalse pikkuse piirangud pole määratletud, võib see säte olla konfigureeritud vahemikus 0–14. Kui säte Leevenda parooli minimaalse pikkuse piirangud on määratletud ja keelatud, võib see säte olla konfigureeritud vahemikus 0–14. Kui säte Leevenda parooli minimaalse pikkuse piirangud on määratletud ja lubatud, võib see säte olla konfigureeritud vahemikus 0–128. Nõutava arvu märkide seadmine 0-ks tähendab, et parooli pole vaja. Märkus Vaikimisi järgivad liikme arvutid oma domeenikontrollerite konfiguratsiooni. Vaikeväärtused:
Kui konfigureerite selle sätte, mis on suurem kui 14, võib see mõjutada ühilduvust klientide, teenuste ja rakendustega. Soovitame konfigureerida selle sätte, mis on suurem kui 14, pärast parooli miinimumpikkuse auditisätte kasutamist, et testida võimalikke mittevastavusi uues sättes. |
Windowsi sündmuselogi sõnumid
Selle lisatud toe osana on lisatud kolm uut sündmuse ID logi sõnumit.
Sündmuse ID 16977
Sündmuse ID 16977 logitakse, kui poliitikasätted MinimumPasswordLength, RelaxMinimumPasswordLengthLimits või MinimumPasswordLengthAudit konfigureeritakse või muudetakse algselt Rühmapoliitika. See sündmus logitakse ainult DC-des. RelaxMinimumPasswordLengthLimits väärtus logitakse ainult Windows Serveri versioonis 2004 ja uuemates versioonides.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse ID |
16977 |
Tase |
Teave |
Sündmuseteate tekst |
Domeen on konfigureeritud parooli pikkusega seotud minimaalsete sätete abil. MiinimumpasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191. |
Sündmuse ID 16978
Kui konto parooli muudetakse, logitakse sündmuse ID 16978 ja parool on lühem kui praegune sätte MinimumPasswordLengthAudit väärtus.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse ID |
16978 |
Tase |
Teave |
Sündmuseteate tekst |
Järgmine konto on konfigureeritud kasutama parooli, mille pikkus on praegusest sättest MinimumPasswordLengthAudit lühem. Kontonimi: MiinimumpasswordLength: MinimumPasswordLengthAudit:Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191. |
Sündmuse ID 16979 jõustamine
Sündmuse ID 16979 logitakse, kui auditeerimise Rühmapoliitika sätted on valesti konfigureeritud. See sündmus logitakse ainult DC-des. RelaxMinimumPasswordLengthLimits väärtus logitakse ainult Windows Serveri versioonis 2004 ja uuemates versioonides. See on jõustamiseks.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse ID |
16979 |
Tase |
Tõrge |
Sündmuseteate tekst |
Domeen on valesti konfigureeritud sättega MinimumPasswordLength , mis on suurem kui 14, samas kui RelaxMinimumPasswordLengthLimits on määratlemata või keelatud. Märkus Kuni selle parandamiseni jõustab domeen väiksema sätte MinimumPasswordLength väärtusega 14. Praegu konfigureeritud miinimumpasswordLength-väärtus:Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191. |
Sündmuse ID 16979 auditeerimine
Sündmuse ID 16979 logitakse, kui auditeerimise Rühmapoliitika sätted on valesti konfigureeritud. See sündmus logitakse ainult DC-des. Selle lisatud toe osana on auditi jaoks lisatud üks uus sündmuselogi teade.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse ID |
16979 |
Tase |
Tõrge |
Sündmuseteate tekst |
Domeen on valesti konfigureeritud sättega MinimumPasswordLength, mis on suurem kui 14. Märkus Kuni selle parandamiseni jõustab domeen väiksema sätte MinimumPasswordLength väärtusega 14. Praegu konfigureeritud miinimumpasswordLength-väärtus : Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191. |
Tarkvara parooli muutmise juhised
Kasutage tarkvaras parooli seadmisel maksimaalset parooli pikkust.
Ajalugu
Kuigi Üldine Microsofti turbestrateegia keskendub kindlalt parooli vähemale tulevikule, ei saa paljud kliendid paroolidest lühikeses ja keskmises perspektiivis migreerida. Mõned turbeteadlikud kliendid soovivad konfigureerida domeeni parooli miinimumpikkuse vaikesätte, mis on pikem kui 14 märki (nt võivad kliendid seda teha pärast seda, kui on õpetanud oma kasutajaid kasutama traditsiooniliste lühikeste ühekordsete paroolide asemel pikemaid paroole). Selle taotluse toetuseks lubas Windows Teabevärskendused 2018. aasta aprillis Windows Server 2016 jaoks Rühmapoliitika muudatuse, mis suurendas parooli miinimumpikkust 14-lt 20 märgile. Kuigi see muudatus toetas pikemat parooli, oli see lõppkokkuvõttes ebapiisav ja lükkas uue väärtuse tagasi Rühmapoliitika rakendamisel. Need hülgamised olid vaiksed ja nõudsid üksikasjalikku testimist, et teha kindlaks, kas süsteem ei toetanud pikemaid paroole. Turbekontohalduri (SAM) kihi järelvärskendus lisati nii Windows Server 2016 kui ka Windows Server 2019 jaoks, et süsteem saaks õigesti töötada parooli minimaalse pikkusega üle 14 märgi. Turbekontohalduri (SAM) kihi järelvärskendus lisati nii Windows Server 2016 kui ka Windows Server 2019 jaoks, et süsteem saaks õigesti töötada parooli minimaalse pikkusega üle 14 märgi.
Poliitikasäte MinimumPasswordLength on olnud väga pikka aega (palju aastakümneid) kõigis Microsofti platvormides lubatud vahemikus 0–14. See säte rakendub nii kohalikele Windowsi turbesätetele kui ka Active Directoryle (ja nt4 domeenidele enne seda). Väärtus null (0) tähendab, et ühegi konto jaoks pole parooli vaja.
Windowsi varasemates versioonides ei lubanud Rühmapoliitika kasutajaliides minimaalselt nõutava parooli pikkust, mis on pikem kui 14 märki. 2018. aasta aprillis andsime välja Windows 10 värskendused, mis lisasid Rühmapoliitika kasutajaliideses enam kui 14 märgi pikkuse toe järgmiste värskenduste osana.
-
KB 4093120: 17. aprill 2018 – KB4093120 (operatsioonisüsteemi järk 14393.2214)
See värskendus sisaldas järgmist väljalaskemärkme teksti:
"Suurendab parooli miinimumpikkust Rühmapoliitika 20 märgini."
Mõned kliendid, kes installisid 2018. aasta aprilli väljaanded ja asendasid värskendused, leidsid, et nad ei saa siiski kasutada üle 14 märgiseid paroole. Uurimise käigus tuvastati, et DC rolliarvutitesse tuleb installida täiendavad värskendused, mis teenindavad paroolipoliitikas määratletud üle 14 märgiseid paroole. Järgmised värskendused lubasid Windows Server 2016 Windows 10 versiooni 1607 ja Windows 10 domeenikontrollerite algse väljaande teenuse sisselogimistele ja autentimistaotlustele, millel on rohkem kui 14-kohalised paroolid.
-
KB 4467684: 27. november 2018 – KB4467684 (operatsioonisüsteemi järk 14393.2639)
See värskendus sisaldas järgmist väljalaskemärkme teksti:
"Lahendab probleemi, mis takistab domeenikontrolleritel rakendada Rühmapoliitika paroolipoliitikat, kui parooli miinimumpikkus on konfigureeritud olema pikem kui 14 märki."
-
KB 4471327: 11. detsember 2018 – KB4471321 (operatsioonisüsteemi järk 14393.2665)
Mõned kliendid määratlesid poliitikas pärast 2018. aasta aprillist kuni oktoobrini 2018 poliitikas üle 14-kohalised paroolid, mis jäid sisuliselt seisma kuni 2018. aasta novembri ja detsembrini, või operatsioonisüsteemi toega omad domeenikontrollerid, et teenindada poliitikas üle 14 märgiseid paroole, eemaldades seega funktsiooni lubamise ja poliitikarakenduse vahelise aja/põhjusliku seose. Olenemata sellest, kas installisite Rühmapoliitika ja domeenikontrolleri värskendused samal ajal või mitte, võite näha järgmisi kõrvalmõjusid.
-
Lahendatud on probleemid rakendustega, mis praegu ei ühildu enam kui 14 märgist suuremate paroolidega.
-
Ilmnenud on probleemid, kui domeenid, mis koosnevad Windows Server 2019 väljalaskeversiooni või värskendatud 2016 DCdest, mis toetavad suuremaid kui 14-kohalisi paroole ja Windows Server 2016-eelseid DC-sid, mis ei toeta rohkem kui 14-kohalisi paroole (kuni tagapordid on olemas ja installitud Windows Server 2016 jaoks).
-
Pärast VÄRSKENDUSE KB4467684 installimist ei pruugi klastriteenus käivituda tõrkega "2245 (NERR_PasswordTooShort)", kui Rühmapoliitika "Parooli miinimumpikkus" on konfigureeritud rohkem kui 14 märgiga.
Selle teadaoleva probleemi juhisteks oli määrata domeeni vaikepoliitika "Parooli miinimumpikkus" väärtuseks kuni 14 märki. Tegeleme lahenduse otsimisega ja lisame selle mõnda edaspidi välja antavasse värskendusse.
Varasemate probleemide tõttu eemaldati 2019. aasta jaanuari värskendustes üle 14 märgist suuremate paroolide tugi, et seda funktsiooni ei saaks kasutada.