Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Sažetak

Windows 10 ažuriranja objavljena 18. kolovoza 2020. dodaje podršku za sljedeće:

  • Događaji nadzora da biste utvrdili podržavaju li aplikacije i servisi lozinke od 15 znakova ili dulje.

  • Provođenje minimalnih duljina lozinki od 15 znakova ili više na servisu Windows Server, verzija 2004 kontrolera domena (DCs).

Podržane verzije Windows

Nadzor duljine lozinki podržan je u sljedećim verzijama programa Windows. Provođenje minimalnih duljina lozinki od 15 znakova ili više podržano je u sustavu Windows Server, verziji 2004 i novijim verzijama Windows.

Verzija sustava Windows

KB

Podrška

Windows 10, verzija 2004 Windows Server verzija 2004

Uvršteno u objavljenu verziju

Provedba Nadzor

Windows 10, verzija 1909 Windows Server verzija 1909

KB4566116

Nadzor

Windows 10, verzija 1903 Windows Server verzija 1903

KB4566116

Nadzor

Windows 10, verzija 1809 Windows Server verzija 1809 Windows Server 2019

KB4571748

Nadzor

Windows 10, verzija 1607 Windows Server 2016

KB4601318

Nadzor

Predložena implementacija

Kontroleri domene

Administrativne radne stanice

Nadzor: Ako je samo nadzor korištenja lozinke ispod minimalne vrijednosti, implementirajte ih na sljedeći način.

Implementirajte ažuriranja na sve podržane DC-ove na kojima je potrebno nadziranje.

Implementirajte ažuriranja na podržane administrativne radne stanice za nove postavke pravilnika grupe. Pomoću tih radnih stanica implementirajte ažurirane pravilnike grupe.

Provedba: Ako želite minimalnu duljinu implementacije lozinke, implementirajte je na sljedeći način.

Windows Server, verzija 2004 DCs. Svi PC-jevi moraju biti u ovoj verziji ili novijoj verziji. Nisu potrebna dodatna ažuriranja.

Koristite Windows 10, verziju 2004. Nove postavke pravilnika grupe za provedbu obuhvaćene su ovom verzijom. Pomoću tih radnih stanica implementirajte ažurirane pravilnike grupe.

Smjernice za implementaciju

Da biste dodali podršku za nadzor i provedbu minimalne duljine lozinke, slijedite ove korake:

  1. Implementirajte ažuriranje na svim podržanim Windows na svim kontrolerima domena.

    1. Kontroler domene: ažuriranja i novija ažuriranja omogućuju podršku na svim DC-ovima radi provjere autentičnosti korisničkih ili servisnih računa konfiguriranih za korištenje lozinki veće od 14 znakova.

    2. Administrativna radna stanica: implementirajte ažuriranja na administrativne radne stanice da biste omogućili primjenu novih postavki pravilnika grupe na DC-ove.

  2. Omogućite postavku Pravilnika grupe MinimumPasswordLengthAudit na domeni ili šumama u kojoj su potrebne dulje obavezne lozinke. Ta bi postavka pravilnika trebala biti omogućena u pravilniku zadanog kontrolora domene povezanom s organizacijskom jedinicom kontrolera domene (OU).

  3. Preporučujemo da pravilnik nadzora omogućite tri do šest mjeseci da biste otkrili sav softver koji ne podržava lozinke veće od 14 znakova.

  4. Monitor domains for Directory-Services-SAM 16978 events logged against software that managed passwords for three to six months. Ne morate nadzirati događaje direktorija i servisa SAM 16978 prijavljenih na korisničke račune.

    1. Ako je to moguće, konfigurirajte softver tako da koristi dulji broj lozinki.

    2. Radite s dobavljačem softvera da biste ažurirali softver da biste koristili dulje lozinke.

    3. Implementirajte pravilnik o zaštiti lozinki za ovaj račun pomoću vrijednosti koja odgovara duljini lozinke koju koristi softver.

    4. Za softver koji upravlja lozinkama računa, ali ne koristi automatski dugačke lozinke i ne može se konfigurirati za korištenje dugih lozinki, za te račune može se koristiti pravilnik o zaštiti lozinki.

  5. Nakon rješavanja svih događaja directory-services-SAM 16978 omogućite minimalnu lozinku. Da biste to učinili, učinite sljedeće:

    1. Implementacija verzije Windows poslužitelja koja podržava implementaciju na svim DC-ovima (uključujući Read-Only DC-ove).

    2. Omogućite pravilnik grupe RelaxMinimumPasswordLengthLimits na svim DC-ovima.

    3. Konfigurirajte pravilnik grupe MinimumPasswordLength na svim DC-ovima.

Pravilnik grupe

Put pravilnika i naziv postavki, podržane verzije

Opis

Put pravilnika: Konfiguracija računala > Windows Postavke > pravilnike Postavke > računa -> Pravilnik o lozinki -> Minimalna duljina lozinke Naziv postavke: MinimumPasswordLengthAudit

Podržano na:

  • Verzija 1607 sustava Windows 10

  • Windows Server 2016

  • Windows 10, verzija 1809

  • Windows Server, verzija 1809

  • Verzija 1903 sustava Windows 10

  • Windows Server, verzija 1903

  • Verzija 1909 sustava Windows 10

  • Windows Server, verzija 1909

  • Verzija 2004 sustava Windows 10

  • Windows Server, verzija 2004

  • i novije verzije

Ponovno pokretanje nije obavezno

Nadzor minimalne duljine lozinke

Ta sigurnosna postavka određuje minimalnu duljinu lozinke za koje se izdaju događaji upozorenja o nadzoru duljine lozinke. Ta se postavka može konfigurirati od 1 do 128.

Tu postavku morate omogućiti i konfigurirati samo kada pokušate utvrditi mogući učinak povećanja minimalne postavke duljine lozinke u okruženju.

Ako ta postavka nije definirana, događaji nadzora neće se izdati.

Ako je ta postavka definirana i manja od ili jednaka minimalnoj duljini lozinke, događaji nadzora neće se izdati.

Ako je ta postavka definirana i veća od minimalne postavke duljine lozinke, a duljina nove lozinke računa manja je od te postavke, izdat će se događaj nadzora.

Put pravilnika i naziv postavki, podržane verzije

Opis

Put pravilnika: Konfiguracija računala > Windows Postavke > pravila Postavke > računa -> Pravilnik za lozinke -> Opustite minimalna ograničenja duljine lozinke Postavljanje naziva: RelaxMinimumPasswordLengthLimits

Podržano na:

  • Verzija 2004 sustava Windows 10

  • Windows Server, verzija 2004

  • i novije verzije

Ponovno pokretanje nije obavezno

Opustite minimalna ograničenja duljine lozinke

Ta postavka određuje može li se minimalna duljina lozinke povećati iznad naslijeđenog ograničenja od 14.

Ako ta postavka nije definirana, minimalna duljina lozinke može se konfigurirati na ne više od 14.

Ako je ta postavka definirana i onemogućena, minimalna duljina lozinke može se konfigurirati na ne više od 14.

Ako je ta postavka definirana i omogućena, minimalna duljina lozinke može se konfigurirati više od 14.

Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?LinkId=2097191.

Put pravilnika i naziv postavki, podržane verzije

Opis

Put pravilnika: Konfiguracija računala > Windows Postavke > pravilnike Postavke > računa -> Pravilnik o lozinki -> Minimalna duljina lozinke Naziv postavke: MinimumPasswordLength

Podržano na:

  • Verzija 2004 sustava Windows 10

  • Windows Server, verzija 2004

  • i novije verzije

Ponovno pokretanje nije obavezno

Ta sigurnosna postavka određuje najmanji broj znakova koje može sadržavati lozinka za korisnički račun.

Maksimalna vrijednost za tu postavku ovisi o vrijednosti postavke Ograničenja minimalne duljine lozinke za opuštanje.

Ako postavka Ograničenja minimalne duljine lozinke nije definirana, ta se postavka može konfigurirati od 0 do 14.

Ako je postavka Ograničenja minimalne duljine lozinke za opuštanje definirana i onemogućena, ta se postavka može konfigurirati od 0 do 14.

Ako je postavka Ograničenja minimalne duljine lozinke definirana i omogućena, ta se postavka može konfigurirati od 0 do 128.

Postavljanje potrebnog broja znakova na 0 znači da nije potrebna lozinka.

Napomena Prema zadanim postavkama računala članova prate konfiguraciju kontrolera domena.

Zadane vrijednosti:

  • 7 na kontrolerima domena

  • 0 na samostalnim poslužiteljima

Konfiguriranje te postavke veće od 14 može utjecati na kompatibilnost s klijentima, servisima i aplikacijama. Preporučujemo da tu postavku konfigurirate veće od 14 nakon što koristite postavku nadzora minimalne duljine lozinke da biste provjerili potencijalne nekompatibilnosti u novoj postavki.

Windows zapisnika događaja

Tri nove poruke zapisnika ID-a događaja obuhvaćene su ovom dodanom podrškom.

ID događaja 16977

ID događaja 16977 bit će zapisan kada se postavke pravilnika MinimumPasswordLength,RelaxMinimumPasswordLengthLimitsili MinimumPasswordLengthAudit postavke pravilnika prvotno konfiguriraju ili preinaku u pravilniku grupe. Taj će se događaj evidentirati samo na DC-ove. Vrijednost RelaxMinimumPasswordLengthLimits bit će prijavljena samo u Windows server, verzija 2004 i novije verzije DC-ova.

Zapisnik događaja

Sustav

Izvor događaja

Directory-Services-SAM

ID događaja

16977

Razina

Informacije

Tekst poruke događaja

Domena je konfigurirana pomoću sljedećih postavki vezanih uz minimalnu duljinu lozinke.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?LinkId=2097191.

ID događaja 16978

ID događaja 16978 zapisuje se kada se promijeni lozinka računa, a lozinka je kraća od trenutne postavke MinimumPasswordLengthAudit.

Zapisnik događaja

Sustav

Izvor događaja

Directory-Services-SAM

ID događaja

16978

Razina

Informacije

Tekst poruke događaja

Sljedeći je račun konfiguriran tako da koristi lozinku čija je duljina kraća od trenutne postavke MinimumPasswordLengthAudit.

AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:

Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?LinkId=2097191.

Provedba ID-a događaja 16979

ID događaja 16979 bit će zapisan kada se postavke pravilnika grupe za nadzor pogrešno konfiguriraju. Taj će se događaj evidentirati samo na DC-ove. Vrijednost RelaxMinimumPasswordLengthLimits bit će prijavljena samo u Windows Server, verzija 2004 i novija verzija DC-ova. Ovo je za ispunjenje.

Zapisnik događaja

Sustav

Izvor događaja

Directory-Services-SAM

ID događaja

16979

Razina

Pogreška

Tekst poruke događaja

Domena nije pravilno konfigurirana s postavkom MinimumPasswordLength koja je veća od 14 dok je RelaxMinimumPasswordLengthLimits nedefiniran ili onemogućen.

Napomena Dok se to ne ispravi, domena će nametnuti manju postavku MinimumPasswordLength od 14.Trenutno konfigurirana vrijednost MinimumPasswordLength:

Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?LinkId=2097191.

Nadzor ID-a događaja 16979

ID događaja 16979 bit će zapisan kada se postavke pravilnika grupe za nadzor pogrešno konfiguriraju. Taj će se događaj evidentirati samo na DC-ove. Jedna nova poruka zapisnika događaja uvrštena je za nadzor u sklopu dodane podrške.

Zapisnik događaja

Sustav

Izvor događaja

Directory-Services-SAM

ID događaja

16979

Razina

Pogreška

Tekst poruke događaja

Domena nije pravilno konfigurirana s postavkom MinimumPasswordLength koja je veća od 14.

Napomena Dok se to ne ispravi, domena će nametnuti manju postavku MinimumPasswordLengthod 14.

Trenutno konfigurirana vrijednost MinimumPasswordLength:

Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?LinkId=2097191.

Smjernice za promjenu lozinke za softver

Prilikom postavljanja lozinke u softveru koristite maksimalnu duljinu lozinke.

Povijest

Premda je cjelokupna Microsoftova sigurnosna strategija čvrsto fokusirana na budućnost bez lozinke, mnogi korisnici ne mogu migrirati dalje od lozinki za kratkoročno-srednje razdoblje. Neki korisnici koji su svjesni sigurnosti žele konfigurirati zadanu postavku minimalne duljine lozinke za domenu koja je veća od 14 znakova (na primjer, korisnici to mogu učiniti nakon što navedu svoje korisnike da koriste dulje pristupne izraze umjesto tradicionalnih kratkih, jednostrukih lozinki za tokene). Da biste podržali taj zahtjev, Windows ažuriranja u travnju 2018. za Windows Server 2016 omogućila je promjenu pravilnika grupe koja je povećala minimalnu duljinu lozinke od 14 do 20 znakova. Premda je ta promjena podržavala dulji broj lozinki, u konačnici nije bila dovoljna i odbacila je novu vrijednost prilikom primjene pravilnika grupe. Odbijanja su bila tiha i potrebna su detaljna testiranja da bi se utvrdilo da sustav ne podržava dulje lozinke. Za Windows Server 2016 i Windows Server 2019 obuhvaćeno je daljnje ažuriranje sloja Upravitelj sigurnosnog računa (SAM) da bi sustav ispravno funkcionirao s kraja na kraj s minimalnom duljinom lozinke većom od 14 znakova. Za Windows Server 2016 i Windows Server 2019 obuhvaćeno je daljnje ažuriranje sloja Upravitelj sigurnosnog računa (SAM) da bi sustav ispravno funkcionirao s kraja na kraj s minimalnom duljinom lozinke većom od 14 znakova.

Postavka pravilnika MinimumPasswordLength na svim Microsoftovim platformama imala je dopušten raspon od 0 do 14 . Ta se postavka odnosi i na lokalne Windows i na Active Directory (i NT4 domene prije toga). Vrijednost nula (0) podrazumijeva da za bilo koji račun nije potrebna lozinka.

U starijim verzijama Windows pravilnik grupe nije omogućio postavljanje minimalnih potrebnih duljina lozinki duljih od 14 znakova. No u travnju 2018. objavili smo ažuriranja Windows 10 koja su dodala podršku za više od 14 znakova u UI pravilniku grupe kao dio ažuriranja kao što su:

  • KB 4093120: 17. travnja 2018. – KB4093120 (međuverzija OS-a 14393.2214)

Ovo ažuriranje obuhvaćalo je sljedeći tekst napomene o izdanju:

"Povećava minimalnu duljinu lozinke u pravilniku grupe na 20 znakova".

Neki korisnici koji su instalirali izdanja iz travnja 2018. i nadomjesna ažuriranja otkrili su da i dalje ne mogu koristiti lozinke veće od 14 znakova. Istraživanje je utvrdilo da su potrebna dodatna ažuriranja koja je potrebno instalirati na računala s ulogama za DC koja servisuju lozinke veće od 14 znakova definirane pravilnikom za lozinke. Sljedeća su ažuriranja omogućila Windows Server 2016, Windows 10, verzija 1607 i početno izdanje kontrolera domena sustava Windows 10 za prijavu servisa i zahtjeve za provjeru autentičnosti s više od 14 znakova lozinki:

  • KB 4467684: 27. studenog 2018. – KB4467684 (međuverzija OS-a 14393.2639)

Ovo ažuriranje obuhvaćalo je sljedeći tekst napomene o izdanju:

"Rješava problem koji sprječava kontrolere domene da primjenjuju pravilnik lozinke pravilnika grupe kada je minimalna duljina lozinke konfigurirana tako da bude veća od 14 znakova."

  • KB 4471327: 11. prosinca 2018. – KB4471321 (međuverzija OS-a 14393.2665)

Neki korisnici definirali su više od 14 znakova lozinki u pravilniku nakon instalacije ažuriranja za travanj 2018. do listopada 2018., koja su u osnovi ostala neaktivna do ažuriranja za studeni 2018. i prosinca 2018. ili nativni kontroleri domena omogućeni za OPERACIJSKI SUSTAV radi servisa koji su u pravilniku veći od 14 znakova, čime se uklanja veza na vrijeme/zagušenje između omogućivanja značajki i aplikacije pravilnika. Bez obzira na to jeste li istodobno instalirali ažuriranja pravilnika grupe i kontrolera domene, možda ćete vidjeti sljedeće nuspojave:

  • Izloženi problemi s aplikacijama koje trenutno nisu kompatibilne s lozinkama većim od 14 znakova.

  • Izloženi problemi kada se domene koje se sastoje od mješavine verzije izdanja sustava Windows Server 2019 ili ažuriranih 2016 DC-ova koji podržavaju više od 14 znakova lozinki i PREDMEŠETANIH RAČUNALA sustava Windows Server 2016 koji ne podržavaju veće od 14 znakova lozinke (dok ne postoje backports i instaliraju se za Windows Server 2016).

  • Nakon instalacije ažuriranja KB4467684servis klastera možda neće uspjeti započeti s pogreškom "2245 (NERR_PasswordTooShort)" ako je pravilnik grupe "Minimalna duljina lozinke" konfiguriran s više od 14 znakova.

    Smjernice za taj poznati problem bilo je postavljanje zadanog pravilnika domene "Minimalna duljina lozinke" na manje od ili jednako 14 znakova. Radimo na rješavanju ovog problema i omogućit ćemo ažuriranje u jednom od sljedećih izdanja.

Zbog starijih problema podrška za DC za lozinke veće od 14 znakova uklonjena je u ažuriranjima za siječanj 2019. da se značajka ne bi koristila.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.