סיכום
Windows 10 עדכונים שהופצה ב- 18 באוגוסט 2020 מוסיפים תמיכה עבור הפריטים הבאים:
-
אירועי ביקורת כדי לזהות אם יישומים ושירותים תומכים בסיסמאות של 15 תווים או יותר.
-
אכיפה של אורך סיסמה מינימלי של 15 תווים או יותר ב- Windows Server, בקרי תחום בגירסה 2004 (DCs).
גירסאות נתמכות של Windows
ביקורת של אורכי סיסמה נתמכת בגירסאות הבאות של Windows. אכיפה של אורך סיסמה מינימלי של 15 תווים או יותר נתמכת ב- Windows Server, גירסה 2004 ובגרסאות מאוחרות יותר של Windows.
גירסת Windows |
KB |
תמיכה |
Windows 10, גירסה 2004 Windows Server גירסה 2004 |
כלול בגירסה שהופצה |
אכיפה ביקורת |
Windows 10, גירסה 1909 Windows Server גירסה 1909 |
ביקורת |
|
Windows 10, גירסה 1903 Windows Server גירסה 1903 |
ביקורת |
|
Windows 10, גירסה 1809 Windows Server גירסה 1809 Windows Server 2019 |
ביקורת |
|
Windows 10, גירסה 1607 Windows Server 2016 |
ביקורת |
פריסה מוצעת
בקרי תחום |
תחנות עבודה ניהוליות |
|
ביקורת: אם רק ביקורת שימוש בסיסמה מתחת לערך מינימלי, פרוס באופן הבא. |
פריסת עדכונים בכל מחשבי ה- DCs הנתמכים שבהם רצויה ביקורת. |
פריסת עדכונים בתחנות עבודה ניהוליות נתמכות עבור הגדרות מדיניות קבוצתית חדשות. השתמש בתחנות עבודה אלה כדי לפרוס פריטי מדיניות קבוצתית מעודכנים. |
אכיפה: אם נדרשת אכיפה של סיסמה באורך מינימלי, פרוס באופן הבא. |
Windows Server, version 2004 DCs. כל מחשבי ה- DCs חייבים להיות בגירסה זו או בגירסה מתקדמת יותר. אין צורך בעדכונים נוספים. |
השתמש Windows 10, גירסה 2004. הגדרות המדיניות הקבוצתית החדשות עבור אכיפה נכללות בגירסה זו. השתמש בתחנות עבודה אלה כדי לפרוס פריטי מדיניות קבוצתית מעודכנים. |
קווים מנחים של פריסה
כדי להוסיף תמיכה עבור ביקורת ואכיפה של אורך סיסמה מינימלי, בצע את הפעולות הבאות:
-
פרוס את העדכון בכל הגירסאות הנתמכות Windows בכל בקרי התחום.
-
בקר תחום: העדכונים ועדכונים מאוחרים יותר מאפשרים תמיכה בכל מחשבי ה- DCs לאימות חשבונות משתמשים או שירות שתצורתם נקבעה לשימוש בסיסמאות של יותר מ- 14 תווים.
-
תחנת עבודה ניהולית: פרוס את העדכונים בתחנות עבודה ניהוליות כדי לאפשר החלת הגדרות מדיניות קבוצתית חדשות על מחשבי DCs.
-
-
הפוך את הגדרת המדיניות הקבוצתית MinimumPasswordLengthAudit לזמינה בתחום או ביער שבו דרושות סיסמאות ארוכות יותר. יש להפוך הגדרת מדיניות זו לזמינה במדיניות ברירת המחדל של בקר התחום המקושרת ליחידה הארגונית (OU) של בקרי התחום.
-
מומלץ להשאיר את מדיניות הביקורת זמינה במשך שלושה עד שישה חודשים כדי לזהות את כל התוכנות שלא תומכות בסיסמאות של יותר מ- 14 תווים.
-
נטר תחומים עבור אירועי Directory-Services-SAM 16978 שנרשמו כנגד תוכנות המנוהלים סיסמאות במשך שלושה עד שישה חודשים. אינך צריך לנטר אירועים של Directory-Services-SAM 16978 שנרשמו מול חשבונות משתמשים.
-
אם הדבר אפשרי, הגדר את התוכנה לשימוש באורך סיסמה ארוך יותר.
-
עבוד עם ספק התוכנה כדי לעדכן את התוכנה כדי להשתמש בסיסמאות ארוכות יותר.
-
פרוס מדיניות סיסמה משובחת עבור חשבון זה באמצעות ערך שמתאים לאורך הסיסמה המשמש את התוכנה.
-
עבור תוכנה המנהלת סיסמאות חשבון אך אינה משתמשת באופן אוטומטי בסיסמאות ארוכות ולא ניתן לקבוע את תצורתה לשימוש בסיסמאות ארוכות, ניתן להשתמש במדיניות סיסמה משובחת עבור חשבונות אלה.
-
-
לאחר כל האירועים של Directory-Services-SAM 16978, הפוך סיסמה מינימלית לזמינה. לשם כך, בצע שלבים אלה:
-
פריסת גירסה של Windows Server התומכת באכיפה בכל מחשבי ה- DCs (כולל Read-Only DCs).
-
הפוך את המדיניות הקבוצתית RelaxMinimumPasswordLengthLimits לזמינה בכל מחשבי ה- DCs.
-
קבע את תצורת המדיניות הקבוצתית של MinimumPasswordLength בכל מחשבי ה- DCs.
-
מדיניות קבוצתית
נתיב מדיניות ושם הגדרה, גירסאות נתמכות |
תיאור |
נתיב מדיניות: תצורת מחשב > Windows הגדרות > אבטחה הגדרות > מדיניות חשבון -> מדיניות סיסמה -> ביקורת אורך סיסמה מינימלית שם הגדרה: MinimumPasswordLengthAuditנתמך ב:
הפעלה מחדש אינה נדרשת |
ביקורת מינימלית של אורך סיסמה הגדרת אבטחה זו קובעת את אורך הסיסמה המינימלי שעבורו יונפקו אירועי אזהרת ביקורת באורך סיסמה. הגדרה זו עשויה להיות מוגדרת מ- 1 עד 128. עליך להפוך הגדרה זו לזמינה ולקבוע את תצורתה רק כאשר אתה מנסה לקבוע את ההשפעה הפוטנציאלית של הגדלת הגדרת אורך הסיסמה המינימלי בסביבה שלך. אם הגדרה זו אינה מוגדרת, אירועי ביקורת לא יונפקו. אם הגדרה זו מוגדרת ופחות מהגדרת אורך הסיסמה המינימלית או שווה לה, אירועי ביקורת לא יונפקו. אם הגדרה זו מוגדרת והיא גדולה מהגדרת אורך הסיסמה המינימלי, והאורך של סיסמת חשבון חדשה קטן מהגדרה זו, יונפק אירוע ביקורת. |
נתיב מדיניות ושם הגדרה, גירסאות נתמכות |
תיאור |
נתיב מדיניות: תצורת מחשב > Windows הגדרות > אבטחה הגדרות > מדיניות חשבון -> מדיניות סיסמה -> הירגע מגבלות אורך סיסמה מינימליות הגדרת שם: RelaxMinimumPasswordLengthLimitsנתמך ב:
הפעלה מחדש אינה נדרשת |
התרווח במגבלות מינימליות של אורך סיסמה מדור קודם הגדרה זו קובעת אם ניתן להגביר את הגדרת אורך הסיסמה המינימלית מעבר למגבלה מדור קודם של 14. אם הגדרה זו אינה מוגדרת, ייתכן שתצורת האורך המינימלי של סיסמה תוגדר ל- 14. אם הגדרה זו מוגדרת לבלתי זמינה, ייתכן שתצורת אורך הסיסמה המינימלית תוגדר ללא יותר מ- 14. אם הגדרה זו מוגדרת וזמינה, ייתכן שתצורת האורך המינימלי של סיסמה תוגדר יותר מ- 14. לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?LinkId=2097191. |
נתיב מדיניות ושם הגדרה, גירסאות נתמכות |
תיאור |
נתיב מדיניות: תצורת מחשב > Windows הגדרות > אבטחה הגדרות > מדיניות חשבון -> סיסמה -> אורך סיסמה מינימלי הגדרת שם: MinimumPasswordLengthנתמך ב:
הפעלה מחדש אינה נדרשת |
הגדרת אבטחה זו קובעת את מספר התווים הפחות שסיסמה עבור חשבון משתמש עשויה להכיל. הערך המרבי עבור הגדרה זו תלוי בערך של ההגדרה הרגע מגבלות אורך סיסמה מינימליות. אם ההגדרה מגבלות אורך סיסמה מינימליות למנוחה אינה מוגדרת, הגדרה זו עשויה להיות מוגדרת מ- 0 עד 14. אם הגדרת ההגדרה הרגע מגבלות אורך סיסמה מינימלי מוגדרת לבלתי זמינה, הגדרה זו עשויה להיות מוגדרת בין 0 ל- 14. אם ההגדרה מגבלות אורך סיסמה מינימליות מוגדרות ומוגדרות, הגדרה זו עשויה להיות מוגדרת בין 0 ל- 128. הגדרת מספר התווים הדרוש ל- 0 פירושה שאין צורך בסיסמה. הערה כברירת מחדל, מחשבים חברים עוקבים אחר התצורה של בקרי התחום שלהם. ערכי ברירת מחדל:
קביעת התצורה של הגדרה זו שגודלה עולה על 14 עשויה להשפיע על תאימות עם לקוחות, שירותים ויישומים. מומלץ להגדיר הגדרה זו גדולה מ- 14 בלבד לאחר שתשתמש בהגדרת הביקורת אורך סיסמה מינימלית כדי מחשב עבור אי-תאימות פוטנציאליות בהגדרה החדשה. |
Windows הודעות של יומן אירועים
שלוש הודעות חדשות של יומן רישום של מזהה אירוע נכללות כחלק מהתמיכה שנוספה זו.
מזהה אירוע 16977
מזהה אירוע מס' 16977 יירשם כאשר הגדרות המדיניות MinimumPasswordLength, RelaxMinimumPasswordLengthLimits, או MinimumPasswordLengthAudit מוגדרות או משתנות בתחילה במדיניות קבוצתית. אירוע זה יירשם רק ב- DCs. הערך RelaxMinimumPasswordLengthLimits יירשם רק ב- Windows Server, גירסה 2004 ובגירסה מתקדמת יותר של DCs.
יומן אירועים |
מערכת |
מקור האירוע |
Directory-Services-SAM |
מזהה האירוע |
16977 |
רמה |
מידע |
טקסט הודעת אירוע |
התחום מוגדר באמצעות ההגדרות המינימליות הבאות הקשורות לאורך סיסמה. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?LinkId=2097191. |
מזהה אירוע 16978
מזהה אירוע 16978 יירשם כאשר סיסמת חשבון משתנה והסיסמה קצרה יותר מההגדרה הנוכחית של MinimumPasswordLengthAudit.
יומן אירועים |
מערכת |
מקור האירוע |
Directory-Services-SAM |
מזהה האירוע |
16978 |
רמה |
מידע |
טקסט הודעת אירוע |
החשבון הבא מוגדר לשימוש בסיסמה שהאורך שלה קצר יותר מההגדרה הנוכחית של MinimumPasswordLengthAudit. AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?LinkId=2097191. |
אכיפה של מזהה אירוע 16979
מזהה אירוע 16979 יירשם ביומן כאשר הגדרות המדיניות הקבוצתית של הביקורת שגויות. אירוע זה יירשם רק ב- DCs. הערך RelaxMinimumPasswordLengthLimits יירשם רק ב- Windows Server, גירסה 2004 ובגירסה מתקדמת יותר של DCs. פעולה זו היא עבור enforcment.
יומן אירועים |
מערכת |
מקור האירוע |
Directory-Services-SAM |
מזהה האירוע |
16979 |
רמה |
שגיאה |
טקסט הודעת אירוע |
התחום מוגדר באופן שגוי עם הגדרת MinimumPasswordLength הגדולה מ- 14 בעוד ש- RelaxMinimumPasswordLengthLimits אינו מוגדר או לא זמין. הערה עד לתיקון, התחום יאכוף הגדרה קטנה יותר של MinimumPasswordLength של 14. ערך MinimumPasswordLength המוגדר כעת:לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?LinkId=2097191. |
ביקורת מזהה אירוע 16979
מזהה אירוע 16979 יירשם ביומן כאשר הגדרות המדיניות הקבוצתית של הביקורת שגויות. אירוע זה יירשם רק ב- DCs. הודעת יומן אירועים חדשה אחת כלולה עבור ביקורת כחלק מהתמיכה שנוספה.
יומן אירועים |
מערכת |
מקור האירוע |
Directory-Services-SAM |
מזהה האירוע |
16979 |
רמה |
שגיאה |
טקסט הודעת אירוע |
תצורת התחום נקבעה באופן שגוי עם הגדרת MinimumPasswordLength הגדולה מ- 14. הערה עד לתיקון הבעיה, התחום יאכוף הגדרה קטנה יותר של MinimumPasswordLength של 14. ערך MinimumPasswordLength המוגדר כעת: לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?LinkId=2097191. |
הדרכה לשינוי סיסמת תוכנה
השתמש באורך הסיסמה המרבי בעת הגדרת סיסמה בתוכנה.
היסטוריה
למרות שאסטרטגיית האבטחה הכוללת של Microsoft מתמקדת בחוזקה בעתיד ללא סיסמה, לקוחות רבים אינם יכולים לעבור מסיסמאות לטווח הקצר עד בינוני. לקוחות מסוימים בעלי מודעות לאבטחה רוצים לקבוע את התצורה של הגדרת אורך סיסמה מינימלי של תחום המהווה ברירת מחדל, שכוללת יותר מ- 14 תווים (לדוגמה, לקוחות עשויים לעשות זאת לאחר שהם מחנכים את המשתמשים להשתמש ביטויי סיסמה ארוכים יותר במקום בסיסמאות אסימון קצרות ומסורתיות). לתמיכה בבקשה זו, Windows עדכונים באפריל 2018 עבור Windows Server 2016 אפשר שינוי מדיניות קבוצתית שהגדיל את אורך הסיסמה המינימלי מ- 14 עד 20 תווים. למרות ששינוי זה נראה לתמיכה בסיסמה ארוכה יותר, הוא לא היה מספיק ודחה את הערך החדש בעת החלת המדיניות הקבוצתית. דחיות אלה היו שקטות ובדיקות מפורטות נדרשו כדי לקבוע שהמערכת לא תומכת בסיסמאות ארוכות יותר. עדכון המשך מעקב לשכבת מנהל חשבון האבטחה (SAM) נכלל הן עבור Windows Server 2016 ו- Windows Server 2019 כדי לאפשר למערכת לעבוד כראוי מסוף לקצה עם אורך סיסמה מינימלי גדול מ- 14 תווים. עדכון המשך מעקב לשכבת מנהל חשבון האבטחה (SAM) נכלל הן עבור Windows Server 2016 ו- Windows Server 2019 כדי לאפשר למערכת לעבוד כראוי מסוף לקצה עם אורך סיסמה מינימלי גדול מ- 14 תווים.
הגדרת המדיניות MinimumPasswordLength כוללת טווח אפשרי בין 0 ל- 14 במשך זמן רב מאוד (עשרות שנים רבות) בכל הפלטפורמות של Microsoft. הגדרה זו חלה הן על הגדרות Windows ו- Active Directory (ועל תחומי NT4 לפני כן). ערך של אפס (0) מרמז שלא נדרשת סיסמה עבור כל חשבון.
בגירסאות קודמות של Windows, ממשק המשתמש של מדיניות קבוצתית לא אפשר הגדרת אורך סיסמה מינימלי נדרש ארוך מ- 14 תווים. עם זאת, באפריל 2018, פרסמנו את עדכוני Windows 10 שהוספת תמיכה עבור יותר מ- 14 תווים בממשק המשתמש של מדיניות קבוצתית כחלק מעדכונים כגון:
-
KB 4093120: 17 באפריל 2018 — KB4093120 (גירסת Build מס' 14393.2214 של מערכת ההפעלה)
עדכון זה כלל את טקסט הערות ההפצה הבא:
"הגדלת אורך הסיסמה המינימלי במדיניות קבוצתית ל- 20 תווים".
לקוחות מסוימים שהתקין את מהדורות אפריל 2018 והותאמו עדכונים, גילו שעדיין לא היתה להם אפשרות להשתמש בסיסמאות של 14 תווים. חקירה זוהתה שעדכונים נוספים הדרושים להתקנה במחשבי תפקיד DC מתן שירות לסיסמאות של יותר מ- 14 תווים שהוגדרו במדיניות הסיסמה. העדכונים הבאים זמינים Windows Server 2016, Windows 10, גירסה 1607 וההפצה הראשונית של בקרי תחום של Windows 10 לשירות כניסות ובקשות אימות עם סיסמאות של יותר מ- 14 תווים:
-
KB 4467684: 27 בנובמבר 2018 — KB4467684 (גירסת Build מס' 14393.2639 של מערכת ההפעלה)
עדכון זה כלל את טקסט הערות ההפצה הבא:
"טופלה בעיה שמונעת מבקרי תחום להחיל את מדיניות הסיסמה של המדיניות הקבוצתית כאשר אורך הסיסמה המינימלי מוגדר להיות גדול מ- 14 תווים".
-
KB 4471327: 11 בדצמבר 2018 — KB4471321 (גירסת Build מס' 14393.2665 של מערכת ההפעלה)
לקוחות מסוימים הגדירו סיסמאות של יותר מ- 14 תווים במדיניות לאחר התקנת העדכונים מאפריל 2018 עד עדכוני אוקטובר 2018, אשר למעשה נשארו רדומים עד נובמבר 2018 ועדכונים של דצמבר 2018 או בקרי תחום מקוריים התומכים ב- OS כדי לספק שירות גדול מסיסמאות של 14 תווים במדיניות, ובכך מסיר את הקישור של הזמן / הגורם בין יישום ההפיון של תכונה ומדיניות. בין אם התקנת עדכונים של מדיניות קבוצתית ובקר תחום בו-זמנית ובין אם לא, ייתכן שאתה רואה את תופעות הלוואי הבאות:
-
בעיות חשופות ביישומים הבלתי תואמים כעת לסיסמאות של יותר מ- 14 תווים.
-
בעיות חשופות כאשר תחומים המורכבים מתערובת של גירסת ההפצה של Windows Server 2019 או בקרי DCs מעודכנים של 2016 התומכים בסיסמאות בת יותר מ- 14 תווים ו- DCs לפני Windows Server 2016 שאינם תומכים בסיסמאות בת יותר מ- 14 תווים (עד ש- backports קיימים ומותקנות עבור Windows Server 2016).
-
לאחר התקנת KB4467684,ייתכן ששירות האשכולות לא יתחיל עם השגיאה "2245 (NERR_PasswordTooShort)" אם תצורת המדיניות הקבוצתית "אורך סיסמה מינימלית" נקבעה עם יותר מ- 14 תווים.
ההנחיות לבעיה ידועה זו היתה להגדיר את מדיניות ברירת המחדל של התחום "אורך סיסמה מינימלי" לערך קטן או שווה ל- 14 תווים. אנו עובדים על פתרון ונספק עדכון במהדורה קרובה.
עקב הבעיות המוקדמות יותר, תמיכה בצד DC עבור סיסמאות של יותר מ- 14 תווים הוסרה בעדכונים בינואר 2019 כך שלא ניתן יהיה להשתמש בתכונה.