Résumé
Windows 10 mises à jour publiées le 18 août 2020 ajoute la prise en charge des suivants :
-
Événements d’audit pour identifier si les applications et services supportent des mots de passe à 15 caractères ou plus.
-
Application de longueurs de mot de passe minimales de 15 caractères ou plus sur Windows Server, version 2004 de contrôleurs de domaine (DCS).
Versions de Windows
L’audit des longueurs des mots de passe est pris en charge sur les versions suivantes Windows. L’application de la longueur minimale de mot de passe de 15 caractères ou plus est prise en charge dans Windows Server, version 2004 et versions ultérieures de Windows.
Version de Windows |
Ko |
Support |
Windows 10, version 2004 Windows Server version 2004 |
Inclus dans la version publiée |
Application Audit |
Windows 10, version 1909 Windows Server version 1909 |
Audit |
|
Windows 10, version 1903 Windows Server version 1903 |
Audit |
|
Windows 10, version 1809 Windows Server version 1809 Windows Server 2019 |
Audit |
|
Windows 10, version 1607 Windows Server 2016 |
Audit |
Déploiement suggéré
Contrôleurs de domaine |
Stations de travail d’administration |
|
Audit : Si l’audit de l’utilisation des mots de passe est inférieur à une valeur minimale, déployez comme suit. |
Déployez les mises à jour sur tous les PC pris en charge lorsque l’audit est souhaité. |
Déployez les mises à jour sur les stations de travail d’administration prise en charge pour les nouveaux paramètres de stratégie de groupe. Utilisez ces stations de travail pour déployer des stratégies de groupe mises à jour. |
Application : Si l’application du mot de passe de longueur minimale est souhaitée, déployez comme suit. |
Windows Server, version 2004 DCs. Tous les PC doivent avoir cette version ou une version ultérieure. Aucune mise à jour supplémentaire n’est nécessaire. |
Utilisez Windows 10, version 2004. Les nouveaux paramètres de stratégie de groupe pour l’application sont inclus dans cette version. Utilisez ces stations de travail pour déployer des stratégies de groupe mises à jour. |
Recommandations en matière de déploiement
Pour ajouter la prise en charge de l’audit et de l’application de la longueur minimale du mot de passe, suivez les étapes suivantes :
-
Déployez la mise à jour sur toutes les versions Windows prise en charge sur tous les contrôleurs de domaine.
-
Contrôleur de domaine : les mises à jour, ainsi que les mises à jour ultérieures, permettent au support sur tous les PC d’authentifier les comptes d’utilisateurs ou de service configurés pour utiliser des mots de passe de plus de 14 caractères.
-
Station de travail d’administration : Déployez les mises à jour sur les stations de travail d’administration pour permettre l’application des nouveaux paramètres de stratégie de groupe aux pc.
-
-
Activez le paramètre de stratégie de groupe MinimumPasswordLengthAudit sur un domaine ou une forêt lorsque des mots de passe plus longs sont requis. Ce paramètre de stratégie doit être activé dans la stratégie du contrôleur de domaine par défaut liée à l’unité d’organisation du contrôleur de domaine.
-
Nous vous recommandons de laisser la stratégie d’audit activée pendant trois à six mois pour détecter tous les logiciels qui ne prend pas en charge les mots de passe de plus de 14 caractères.
-
Surveillez les domaines pour les événements Directory-Services-SAM 16978 connectés à des logiciels qui gérés des mots de passe pendant trois à six mois. Vous n’êtes pas tenu de surveiller les événements Directory-Services-SAM 16978 connectés à des comptes d’utilisateurs.
-
Si cela est possible, configurez le logiciel de manière à utiliser une longueur de mot de passe plus longue.
-
Travaillez avec le fournisseur de logiciels pour mettre à jour le logiciel afin d’utiliser des mots de passe plus longs.
-
Déployez une stratégie de mot de passe fine pour ce compte à l’aide d’une valeur qui correspond à la longueur du mot de passe utilisée par le logiciel.
-
Pour les logiciels qui gèrent les mots de passe de compte mais n’utilisent pas automatiquement des mots de passe longs et ne peuvent pas être configurés pour utiliser des mots de passe longs, une stratégie de mot de passe fine peut être utilisée pour ces comptes.
-
-
Une fois tous les événements Directory-Services-SAM 16978 traités, activez un mot de passe minimal. Pour ce faire, procédez comme suit :
-
Déployez une version de Windows Server qui prend en charge l’application sur tous les PC (y Read-Only DCS compris).
-
Activez la stratégie de groupe RelaxMinimumPasswordLengthLimits sur tous les PC.
-
Configurez la stratégie de groupe MinimumPasswordLength sur tous les PC.
-
Stratégie de groupe
Chemin d’accès à la stratégie et définition de nom, versions prise en charge |
Description |
Chemin d’accès à la stratégie : Stratégies de compte Paramètres > configuration ordinateur -> stratégie de mot de passe -> Nom du paramètre d’audit de longueur minimale du mot de passe : MinimumPasswordLengthAudit > Windows Paramètres >Pris en charge sur :
Un redémarrage n’est pas nécessaire |
Audit de longueur minimale du mot de passe Ce paramètre de sécurité détermine la longueur minimale du mot de passe pour laquelle des événements d’avertissement de longueur de mot de passe sont émis. Ce paramètre peut être configuré de 1 à 128. Vous devez seulement activer et configurer ce paramètre lorsque vous essayez de déterminer l’effet potentiel de l’augmentation du paramètre de longueur minimale du mot de passe dans votre environnement. Si ce paramètre n’est pas défini, les événements d’audit ne seront pas émis. Si ce paramètre est défini et est inférieur ou égal au paramètre de longueur minimale du mot de passe, les événements d’audit ne sont pas émis. Si ce paramètre est défini et est supérieur au paramètre de longueur minimale du mot de passe et que la longueur du mot de passe d’un nouveau compte est inférieure à ce paramètre, un événement d’audit sera émis. |
Chemin d’accès à la stratégie et définition de nom, versions prise en charge |
Description |
Chemin d’accès à la stratégie : Configuration ordinateur > Windows Paramètres > Stratégies de compte Paramètres > de sécurité -> Stratégie de mot de passe -> Relâcher la longueur minimale des mots de passe - Nom de paramètre : RelaxMinimumPasswordLengthLimitsPris en charge sur :
Un redémarrage n’est pas nécessaire |
Limites de longueur minimale du mot de passe Ce paramètre contrôle si le paramètre de longueur minimale du mot de passe peut être augmenté au-delà de la limite de 14. Si ce paramètre n’est pas défini, la longueur minimale du mot de passe peut être configurée sur une longueur maximale de 14. Si ce paramètre est défini et désactivé, la longueur minimale du mot de passe peut être configurée sur une longueur maximale de 14. Si ce paramètre est défini et activé, la longueur minimale du mot de passe peut être définie sur plus de 14. Pour plus d’informations, voir https://go.microsoft.com/fwlink/?LinkId=2097191. |
Chemin d’accès à la stratégie et définition de nom, versions prise en charge |
Description |
Chemin d’accès à la stratégie : Stratégies de Paramètres > de sécurité et de > Windows Paramètres > ordinateur -> stratégie de mot de passe -> longueur minimale du mot de passe - Nom du paramètre : MinimumPasswordLengthPris en charge sur :
Un redémarrage n’est pas nécessaire |
Ce paramètre de sécurité détermine le moins de caractères qu’un mot de passe peut contenir pour un compte d’utilisateur. La valeur maximale de ce paramètre dépend de la valeur du paramètre de limite de longueur minimale du mot de passe. Si le paramètre de longueur minimale du mot de passe De 0 à 14 peut être configuré. Si le paramètre de longueur minimale du mot de passe a été défini et désactivé, ce paramètre peut être configuré de 0 à 14. Si le paramètre De 0 à 128 peut être configuré, le paramètre peut être défini et activé. La définition du nombre requis de caractères sur 0 signifie qu’aucun mot de passe n’est requis. Remarque Par défaut, les ordinateurs membres suivent la configuration de leurs contrôleurs de domaine. Valeurs par défaut :
La configuration de ce paramètre supérieur à 14 peut affecter la compatibilité avec les clients, services et applications. Nous vous recommandons de configurer ce paramètre uniquement après avoir utilisé le paramètre d’audit de longueur minimale du mot de passe pour tester les incompatibilités potentielles au nouveau paramètre. |
Windows messages du journal des événements
Trois nouveaux messages journaux d’ID d’événement sont inclus dans cette prise en charge ajoutée.
ID d’événement 16977
L’ID d’événement 16977 sera enregistré lorsque les paramètres de stratégie MinimumPasswordLength,RelaxMinimumPasswordLengthLimitsou MinimumPasswordLengthAudit sont initialement configurés ou modifiés dans une stratégie de groupe. Cet événement n’est connecté qu’à des PC. La valeur RelaxMinimumPasswordLengthLimits sera enregistrée uniquement dans les PC Windows Server, version 2004 et ultérieures.
Journal des événements |
Système |
Origine de l’événement |
Directory-Services-SAM |
ID d’événement |
16977 |
Niveau |
Information |
Texte du message de l’événement |
Le domaine est configuré à l’aide des paramètres de longueur minimale de mot de passe suivants. MinimumPasswordLength : RelaxMinimumPasswordLengthLimits : MinimumPasswordLengthAudit :Pour plus d’informations, voir https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID d’événement 16978
L’ID d’événement 16978 est enregistré lorsqu’un mot de passe de compte est modifié et le mot de passe est plus court que le paramètre MinimumPasswordLengthAudit actuel.
Journal des événements |
Système |
Origine de l’événement |
Directory-Services-SAM |
ID d’événement |
16978 |
Niveau |
Information |
Texte du message de l’événement |
Le compte suivant est configuré pour utiliser un mot de passe dont la longueur est plus courte que le paramètre MinimumPasswordLengthAudit actuel. AccountName : MinimumPasswordLength : MinimumPasswordLengthAudit :Pour plus d’informations, voir https://go.microsoft.com/fwlink/?LinkId=2097191. |
Application de l’ID d’événement 16979
L’ID d’événement 16979 sera enregistré lorsque les paramètres de stratégie de groupe d’audit sont mal configurés. Cet événement n’est connecté qu’à des PC. La valeur RelaxMinimumPasswordLengthLimits sera enregistrée uniquement dans les PC Windows Server, version 2004 et ultérieures. Cela est à l’forcment.
Journal des événements |
Système |
Origine de l’événement |
Directory-Services-SAM |
ID d’événement |
16979 |
Niveau |
Erreur |
Texte du message de l’événement |
Le domaine est configuré de manière incorrecte avec un paramètre MinimumPasswordLength supérieur à 14, tandis que RelaxMinimumPasswordLengthLimits est indéfini ou désactivé. Remarque Jusqu’à ce que ce problème soit corrigé, le domaine applique un paramètre MinimumPasswordLength de 14 plus petit. Valeur MinimumPasswordLength actuellement configurée :Pour plus d’informations, voir https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID d’événement 16979 Audit
L’ID d’événement 16979 sera enregistré lorsque les paramètres de stratégie de groupe d’audit sont mal configurés. Cet événement n’est connecté qu’à des PC. Un nouveau message du journal des événements est inclus pour l’audit dans le cadre de cette prise en charge supplémentaire.
Journal des événements |
Système |
Origine de l’événement |
Directory-Services-SAM |
ID d’événement |
16979 |
Niveau |
Erreur |
Texte du message de l’événement |
Le domaine est mal configuré avec un paramètre MinimumPasswordLength supérieur à 14. Remarque Jusqu’à ce que cette erreur soit corrigée, le domaine applique un paramètre MinimumPasswordLength de 14plus petit. Valeur MinimumPasswordLength actuellement configurée : Pour plus d’informations, voir https://go.microsoft.com/fwlink/?LinkId=2097191. |
Instructions pour la modification du mot de passe logiciel
Utilisez la longueur maximale d’un mot de passe lors de la définition d’un mot de passe dans un logiciel.
Historique
Bien que la stratégie de sécurité globale de Microsoft soit résolument axée sur un futur sans mot de passe, de nombreux clients ne peuvent pas migrer à l’extérieur des mots de passe à court et moyen terme. Certains clients soucieux de la sécurité souhaitent être en mesure de configurer un paramètre de longueur minimale de mot de passe de domaine par défaut supérieure à 14 caractères (par exemple, les clients peuvent faire cela après avoir utilisé des formulations plus longues au lieu des mots de passe traditionnels de jeton unique simple). À l’appui de cette demande, les mises à jour Windows d’avril 2018 pour Windows Server 2016 ont activé un changement de stratégie de groupe qui augmente la longueur minimale du mot de passe de 14 à 20 caractères. Si cette modification apparaissait comme prendre en charge un mot de passe plus long, elle était finalement insuffisante et a rejeté la nouvelle valeur lorsque la stratégie de groupe a été appliquée. Ces refus sont restés silencieux et des tests détaillés ont été requis pour déterminer que le système ne vait pas en charge les mots de passe plus longs. Une mise à jour de suivi du calque Gestionnaire de comptes de sécurité (SAM) a été incluse pour Windows Server 2016 et Windows Server 2019 afin que le système fonctionne correctement de bout en bout avec une longueur de mot de passe minimale supérieure à 14 caractères. Une mise à jour de suivi du calque Gestionnaire de comptes de sécurité (SAM) a été incluse pour Windows Server 2016 et Windows Server 2019 afin que le système fonctionne correctement de bout en bout avec une longueur de mot de passe minimale supérieure à 14 caractères.
Le paramètre de stratégie MinimumPasswordLength permettait une plage de 0 à 14 depuis très longtemps (il y a plusieurs dizaines d’années) sur toutes les plateformes Microsoft. Ce paramètre s’applique aussi bien aux paramètres Windows sécurité locale et aux domaines Active Directory (et NT4). Une valeur de zéro (0) indique qu’aucun mot de passe n’est nécessaire pour tous les comptes.
Dans les versions antérieures de Windows, l’interface utilisateur de stratégie de groupe n’a pas activé la définition des longueurs minimales requises pour les mots de passe de plus de 14 caractères. Toutefois, en avril 2018, nous avons publié les mises à jour Windows 10 qui ont ajouté la prise en charge de plus de 14 caractères dans l’interface utilisateur de stratégie de groupe dans le cadre des mises à jour telles que :
-
KB 4093120: 17 avril 2018 : KB4093120 (build du système d’exploitation 14393.2214)
Cette mise à jour inclut le texte de la note de publication suivant :
« Augmente la longueur minimale du mot de passe dans la stratégie de groupe à 20 caractères. »
Certains clients qui ont installé les mises à jour d’avril 2018 et ont publié des mises à jour ont constaté qu’ils ne pouvaient toujours pas utiliser des mots de passe de plus de 14 caractères. Les examens ont permis de déterminer que des mises à jour supplémentaires devaient être installées sur des ordinateurs de rôle DUT qui entrent en service les mots de passe de plus de 14 caractères qui ont été définis dans la stratégie de mot de passe. Les mises à jour suivantes ont activé Windows Server 2016, Windows 10, version 1607 et la version initiale des contrôleurs de domaine Windows 10 vers les logons de service et les demandes d’authentification avec des mots de passe de plus de 14 caractères :
-
KB 4467684: 27 novembre 2018 - KB4467684 (build du système d’exploitation 14393.2639)
Cette mise à jour inclut le texte de la note de publication suivant :
« Résout un problème qui empêche les contrôleurs de domaine d’appliquer la stratégie de mot de passe de stratégie de groupe lorsque la longueur minimale du mot de passe est configurée pour une longueur supérieure à 14 caractères. »
-
KB 4471327: 11 décembre 2018 : KB4471321 (build du système d’exploitation 14393.2665)
Certains clients ont défini des mots de passe de plus de 14 caractères dans la stratégie après l’installation des mises à jour d’avril 2018 à octobre 2018, qui restaient essentiellement en suspens jusqu’aux mises à jour de novembre 2018 et de décembre 2018, ou d’un contrôleur de domaine natif activé pour le service de mots de passe de plus de 14 caractères dans la stratégie, ce qui supprime le lien d’heure /causation entre l’enablement de fonctionnalité et l’application de stratégie. Si vous avez installé la stratégie de groupe et les mises à jour du contrôleur de domaine en même temps ou non, vous pouvez constater les effets secondaires suivants :
-
Problèmes exposés avec des applications actuellement incompatibles avec des mots de passe de plus de 14 caractères.
-
Problèmes exposés lorsque les domaines comprenant une combinaison de la version finale d’Windows Server 2019 ou des PC 2016 mis à jour qui supportent des mots de passe supérieurs à 14 caractères et des PC pré-Windows Server 2016 ne viennent pas à la prise en charge de mots de passe à 14 caractères (jusqu’à ce que des retours arrière existent et soient installés pour Windows Server 2016).
-
Après avoir installé la mise à jour KB4467684,le service cluster peut ne pas démarrer avec l’erreur « 2245 (NERR_PasswordTooShort) » si la stratégie de groupe « Longueur minimale du mot de passe » est configurée avec plus de 14 caractères.
Les instructions pour ce problème connu étaient de définir la stratégie par défaut « Longueur minimale du mot de passe » sur un nombre inférieur ou égal à 14 caractères. Nous travaillons sur une résolution et vous fournirons une mise à jour dans une prochaine version.
En raison de ces problèmes précédents, la prise en charge côté DC des mots de passe de plus de 14 caractères a été supprimée dans les mises à jour de janvier 2019 afin que la fonctionnalité ne puisse pas être utilisée.