Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Összefoglalás

Windows 10 2020. augusztus 18-án kiadott frissítések az alábbiakhoz nyújt támogatást:

  • Audit Events to identify whether applications and services support 15-character or longer passwords.

  • A 2004-es verziójú tartományvezérlőkön legalább 15 karakter hosszúságú jelszavak kényszerítése Windows kiszolgálón.

A Windows támogatott verziói

A jelszavak hosszának naplózását az alábbi verziók Windows. A 15 karakterből vagy több karakterből állhat jelszavak minimális hosszának kényszerítése támogatott a Windows Server 2004-es és újabb verzióiban Windows.

Windows-verzió

KB-szám

Támogatás

Windows 10 Server 2004-es Windows 2004-es verziója

A kiadott verzió része

Kényszerítás Naplózás

Windows 10 1909-es verzió és Windows Server 1909-es verziója

KB4566116

Naplózás

Windows 10 1903-as verzió és Windows Server 1903-as verziója

KB4566116

Naplózás

Windows 10, 1809-es verzió Windows Server version 1809 Windows Server 2019

KB4571748

Naplózás

Windows 10 1607-es verzió Windows Server 2016

KB4601318

Naplózás

Javasolt üzembe helyezés

Tartományvezérlők

Felügyeleti munkaállomások

Naplózás: Ha a jelszóhasználat naplózása nem ér el egy minimális értéket, akkor telepítse az alábbiak szerint.

Telepítsen frissítéseket az összes olyan támogatott számítógépen, ahol naplózást kíván.

Frissítések telepítése támogatott felügyeleti munkaállomásokra új csoportházirend-beállításokhoz. Használja ezeket a munkaállomásokat a frissített csoportházirendek telepítéséhez.

Kényszerítési: Ha minimális hosszú jelszó-kényszerítési eljárásra van szükség, akkor telepítse az alábbiak szerint.

Windows Kiszolgáló, 2004-es verziójú DCS. Az összes DCS-nek ebben a verzióban vagy egy újabb verzióban kell lennie. További frissítésekre nincs szükség.

Használja Windows 10 2004-es verziót. Az új csoportházirend-kényszerítési beállítások ebben a verzióban szerepelnek. Használja ezeket a munkaállomásokat a frissített csoportházirendek telepítéséhez.

Telepítési útmutató

Ha a jelszó minimális hosszának naplózását és kényszerítési támogatását is hozzá szeretne adni, kövesse az alábbi lépéseket:

  1. Telepítse a frissítést az összes támogatott Windows tartományvezérlőn.

    1. Tartományvezérlő: A frissítések és a későbbi frissítések lehetővé teszik a támogatást az összes számítógépen a 14 karakternél nagyobb jelszavak használatára konfigurált felhasználói vagy szolgáltatásfiókok hitelesítéséhez.

    2. Felügyeleti munkaállomás: A frissítéseket felügyeleti munkaállomásokra telepítheti, hogy az új csoportházirend-beállításokat alkalmazni tudják a pc-kre.

  2. Engedélyezze a MinimumPasswordLengthAudit csoportházirend-beállítást olyan tartományban vagy erdőben, ahol hosszabb jelszót kell megadni. Ezt a házirendbeállítást engedélyezni kell az alapértelmezett tartományvezérlő szervezeti egységhez kapcsolt házirendben.

  3. Azt javasoljuk, hogy hagyja engedélyezni a naplózási házirendet három-hat hónapig, hogy észlelje az összes olyan szoftvert, amely nem támogatja a 14 karakternél hosszabb jelszavakat.

  4. A címtárszolgáltatások-SAM 16978-as eseményekhez naplózott tartományok figyelése olyan szoftverrel, amely 3–6 hónapig kezelte a jelszavakat. Nem kell a felhasználói fiókokon naplózott Címtár-Services-SAM 16978-eseményeket figyelni.

    1. Ha lehetséges, konfigurálja a szoftvert hosszabb jelszóhosszúra.

    2. A szoftver gyártójával együtt frissítheti a szoftvert, hogy hosszabb jelszavakat használjon.

    3. Ehhez a fiókhoz egy, a szoftver által használt jelszóhossznak megfelelő értéket használva telepíthet egy további, a jelszóra vonatkozó házirendet.

    4. Az olyan szoftverek esetén, amelyek fiókjelszavak kezelésére, de nem használnak automatikusan hosszú jelszavakat, és nem konfigurálható hosszú jelszavak használatára, ezekre a fiókokra egy további, a jelszóra vonatkozó házirend használható.

  5. Miután az összes címtárszolgáltatás-SAM 16978-eseménynek megcímzével foglalkozott, engedélyezzen egy minimális jelszót. Ehhez kövesse a következő lépéseket:

    1. Telepítse a Windows-kiszolgáló egy olyan verzióját, amely támogatja a kényszerítési érvényt az összes számítógépen (beleértve a Read-Only is).

    2. Engedélyezze a RelaxMinimumPasswordLengthLimits csoportházirendet az összes DCS-n.

    3. Konfigurálja a MinimumJelszóLength csoportházirendet az összes számítógépen.

Csoportházirend

Házirend elérési útja és beállítása, támogatott verziók

Leírás

Házirend elérési útja: Számítógép konfigurációja > Windows Gépház > biztonsági Gépház > fiók házirendek -> jelszó-házirend -> Minimális jelszóhossz-naplózási név: MinimumPasswordLengthAudit

Támogatott:

  • Windows 10, 1607-es verzió

  • Windows Server 2016

  • Windows 10, 1809-es verzió

  • Windows Server, 1809-es verzió

  • Windows 10, 1903-as verzió

  • Windows Server, version 1903

  • Windows 10, 1909-es verzió

  • Windows Server, version 1909

  • Windows 10, 2004-es verzió

  • Windows Server, version 2004

  • és újabb verziók

Nincs szükség újraindításra

A jelszavak hosszának minimális ellenőrzése

Ez a biztonsági beállítás határozza meg azt a minimális jelszóhosszt, amelyhez jelszóhossz-naplózási figyelmeztetést adtak ki. Ez a beállítás 1 és 128 között lehet konfigurálva.

Ezt a beállítást csak akkor engedélyezze és konfigurálja, amikor megpróbálja megállapítani, hogy lehetséges-e növelni a jelszó minimális hosszát a környezetében.

Ha nincs megadva ez a beállítás, akkor a naplóesemények nem lesznek kiadva.

Ha ez a beállítás meg van adva, és nem kisebb a jelszó minimális hosszára vonatkozó beállításnál, akkor a naplóesemények nem lesznek kiadva.

Ha ez a beállítás meg van adva, és nagyobb a jelszó minimális hosszára vonatkozó beállításnál, és az új fiókjelszó hossza kisebb, mint ez a beállítás, naplóeseményt ad ki a rendszer.

Házirend elérési útja és beállítása, támogatott verziók

Leírás

Házirend elérési útja: Számítógép konfigurációja > Windows Gépház > biztonsági Gépház > fiókházirendek - > jelszóházirend -> Minimális jelszóhossz-korlátozások kipihenése: RelaxMinimumPasswordLengthLimits

Támogatott:

  • Windows 10, 2004-es verzió

  • Windows Server, version 2004

  • és újabb verziók

Nincs szükség újraindításra

A jelszó minimális hosszának kipihenése régi korlátozások

Ez a beállítás azt szabályozza, hogy a minimális jelszóhossz-beállítás növelhető-e a régi 14-es korlátnál.

Ha nincs megadva ez a beállítás, akkor a jelszó minimális hossza nem lehet 14-esnél hosszabb.

Ha ez a beállítás be van állítva és le van tiltva, akkor a jelszó minimális hossza nem lehet 14-esnél hosszabb.

Ha ez a beállítás be van állítva és engedélyezve van, a jelszó minimális hossza 14-nél hosszabb lehet.

További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191.

Házirend elérési útja és beállítása, támogatott verziók

Leírás

Házirend elérési útja: Számítógép konfigurációja > Windows Gépház > biztonsági Gépház > fiók házirendek -> jelszó-házirend -> Minimális jelszóhossz Beállítás neve: MinimumPasswordLength

Támogatott:

  • Windows 10, 2004-es verzió

  • Windows Server, version 2004

  • és újabb verziók

Nincs szükség újraindításra

Ez a biztonsági beállítás határozza meg, hogy a felhasználói fiókok jelszava hány karaktert tartalmazhat a legkevesebb karakterből.

Ennek a beállításnak a maximális értéke a Jelszó minimális hosszának kipihenése beállítás értékétől függ.

Ha a Jelszó minimális hosszára vonatkozó korlátozások nincs megadva, ez a beállítás 0-tól 14-ig lehet konfigurálva.

Ha a Jelszó minimális hosszára vonatkozó korlátozások be vannak állítva és le vannak tiltva, ez a beállítás 0 és 14 között lehet beállítva.

Ha be van állítva és engedélyezett a Jelszó minimális hosszára vonatkozó korlátozás, ez a beállítás 0 és 128 között lehet beállítva.

Ha a kötelező karakterek számát 0-ra omktrasztja, az azt jelenti, hogy nincs szükség jelszóra.

Megjegyzés A tag számítógépek alapértelmezés szerint a tartományvezérlők konfigurációját követik.

Alapértelmezett értékek:

  • 7 a tartományvezérlőkön

  • 0 a különálló kiszolgálókon

Ha 14-nél nagyobb beállítást ad meg, az hatással lehet az ügyfelekkel, szolgáltatásokkal és alkalmazásokkal való kompatibilitásra. Azt javasoljuk, hogy ezt a beállítást csak 14-esnél nagyobbra állítsa be, miután a Jelszó minimális hossza naplózási beállítással tesztelni tudja az esetleges inkompatibilitásokat az új beállítással.

Windows naplóüzenetek megtekintése

A hozzáadott támogatás részeként három új eseményazonosító-üzenetet is mellékeltünk.

16977-es eseményazonosító

A 16977-es eseményazonosítót a rendszer akkor naplózza, ha a Csoportházirendben kezdetben beállítja vagy módosítja a MinimumPasswordLengthLength,a RelaxMinimumPasswordLengthLimitsvagy a MinimumPasswordLengthAudit házirend-beállításokat. Ezt az eseményt csak a számítógépen naplózza a rendszer. A RelaxMinimumPasswordLengthLimits értéket csak az Windows Server 2004-es és újabb verzióiban naplózza a rendszer.

Eseménynapló

Rendszer

Esemény forrása

Directory-Services-SAM

Eseményazonosító

16977

Szint

Információ

Esemény üzenetszövege

A tartomány az alábbi minimális jelszóhosszú beállításokkal van konfigurálva.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191.

16978-as eseményazonosító

A rendszer a 16978-as eseményazonosítót naplózza, ha egy fiókjelszó megváltozik, és a jelszó rövidebb az aktuális MinimumPasswordLengthAudit beállításnál.

Eseménynapló

Rendszer

Esemény forrása

Directory-Services-SAM

Eseményazonosító

16978

Szint

Információ

Esemény üzenetszövege

Az alábbi fiók úgy van konfigurálva, hogy olyan jelszót használjon, amelynek a hossza rövidebb, mint a jelenlegi MinimumPasswordLengthAudit beállítás.

AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:

További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191.

16979-es eseményazonosító kényszerítési

Az 16979-es eseményazonosítót a rendszer akkor naplózza, ha a naplózási csoportházirend beállításai nem megfelelőek. Ezt az eseményt csak a számítógépen naplózza a rendszer. A RelaxMinimumPasswordLengthLimits értéket csak a Windows Server 2004-es és újabb verzióiban naplózza a rendszer. Ez a kényszerítéshez szükséges.

Eseménynapló

Rendszer

Esemény forrása

Directory-Services-SAM

Eseményazonosító

16979

Szint

Hiba

Esemény üzenetszövege

A tartomány helytelenül van beállítva egy 14-esnél nagyobb MinimumJelszóLength beállítással, míg a RelaxMinimumPasswordLengthLimits meghatározatlan vagy letiltva van.

Megjegyzés A javításig a tartomány egy kisebb, 14-es minimumJelszóLength beállítást fog érvényesíteni.Jelenleg konfigurált MinimumPasswordLength érték:

További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191.

16979-es eseményazonosító naplózás

Az 16979-es eseményazonosítót a rendszer akkor naplózza, ha a naplózási csoportházirend beállításai nem megfelelőek. Ezt az eseményt csak a számítógépen naplózza a rendszer. A hozzáadott támogatás részeként a naplózáshoz egy új eseménynaplóüzenet tartozik.

Eseménynapló

Rendszer

Esemény forrása

Directory-Services-SAM

Eseményazonosító

16979

Szint

Hiba

Esemény üzenetszövege

A tartomány helytelenül van beállítva egy 14-esnél nagyobb MinimumJelszóLength beállítással.

Megjegyzés A javításig a tartomány egy kisebb, 14-es(MinimumPasswordLength) beállítást fog érvényesíteni.

Jelenleg konfigurált MinimumPasswordLength érték:

További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191.

Útmutató a szoftverjelszavak változásához

A jelszavak szoftverben való beállításakor használja a maximális jelszóhosszt.

Előzmények

Bár a Microsoft általános biztonsági stratégiáját csak a jelszóval nem elérhető jövőre összpontosítja, sok ügyfél nem képes rövid–közepes távon áttűnni a jelszavakból. Néhány biztonsággal még nagyobb biztonsággal járó ügyfelek szeretnék beállítani a tartomány minimális jelszóhosszú alapértelmezett, 14 karakternél hosszabb beállítását (például miután arra oktatják felhasználóikat, hogy a hagyományos rövid, egyetlen tokenjelszavak helyett hosszabb jelszavakat használjanak). A kérelem támogatása érdekében a Windows Windows Server 2016 2018. áprilisi frissítései lehetővé tettek egy csoportházirend-módosítási beállítást, amely 14-ről 20 karakterre növelte a jelszavak minimális hosszát. Bár ez a módosítás a hosszabb jelszó támogatására jelent meg, végső soron nem volt elég, és elutasította az új értéket a csoportházirend alkalmazásakor. Az elutasítások csendesek voltak, és részletes tesztelést megköveteltek annak meghatározásához, hogy a rendszer nem támogatja-e a hosszabb jelszavakat. A Security Account Manager (SAM) réteghez egy további frissítés tartozott az Windows Server 2016 és a Windows Server 2019 rendszerhez is, hogy a rendszer megfelelően működjön a végpontok között úgy, hogy a jelszó legalább 14 karakter hosszú legyen. A Security Account Manager (SAM) réteghez egy további frissítés tartozott az Windows Server 2016 és a Windows Server 2019 rendszerhez is, hogy a rendszer megfelelően működjön a végpontok között úgy, hogy a jelszó legalább 14 karakter hosszú legyen.

A MinimumPasswordLength házirendbeállításnak 0 és 14 közötti tartománya volt az összes Microsoft-platformon. Ez a beállítás a helyi biztonsági Windows az Active Directoryra (és korábban az NT4-tartományokra) egyaránt érvényes. A nulla (0) érték azt jelenti, hogy nincs szükség jelszóra egyetlen fiókhoz sem.

Az Windows korábbi verzióiban a csoportházirend felhasználói felülete nem tette lehetővé a 14 karakternél hosszabb, minimálisan szükséges jelszóhossz beállítását. 2018 áprilisában azonban kiadtunk egy Windows 10-frissítést, amely több mint 14 karakteres támogatást adott a csoportházirend felhasználói felületéhez az olyan frissítések részeként, mint például:

  • KB 4093120: 2018. április 17. – KB4093120 (az operációs rendszer 14393.2214-es build)

Ez a frissítés a következő kibocsátási megjegyzésszöveget tartalmazza:

"A csoportházirendben a jelszó minimális hosszát 20 karakterre növeli."

Egyes ügyfelek, akik telepítették a 2018. áprilisi kiadásokat, és feleslegesen telepítették a frissítéseket, azt megtalálták, hogy továbbra sem használhatnak 14 karakternél több jelszót. A vizsgálat azt azonosította, hogy a jelszó-házirendben meghatározott, 14 karakternél több jelszót karbantartási számítógépeken további frissítéseket kell telepíteni a dc-hez használt számítógépekre. A következő frissítések engedélyezték a Windows Server 2016, az Windows 10 1607-es verzióját és az Windows 10-tartományvezérlők kezdeti kiadását a 14 karakternél nagyobb jelszóval rendelkező bejelentkezési és hitelesítési kérések szolgáltatására:

  • KB 4467684:2018. november 27. – KB4467684 (az operációs rendszer 14393.2639-es build)

Ez a frissítés a következő kibocsátási megjegyzésszöveget tartalmazza:

"Elhárítottuk a hibát, amely megakadályozta, hogy a tartományvezérlők csoportházirend-jelszó-házirendet alkalmazzanak, ha a jelszó minimális hosszát 14 karakternél hosszabbra konfigurálták."

  • KB 4471327:2018. december 11. – KB4471321 (az operációs rendszer 14393.2665-ös build)

Egyes ügyfelek a 2018. áprilisi és 2018. októberi frissítések telepítése után 14 karakternél nagyobb jelszavakat definiáltak a házirendben, amelyek gyakorlatilag inaktívak 2018 novemberéig és 2018 decemberéig, illetve egy natív operációsrendszer-kompatibilis tartományvezérlőnél, hogy 14 karakternél nagyobb jelszavakat használjanak a házirendben, ezáltal eltávolítva a funkció engedélyezése és a házirend alkalmazása közötti idő/ok-okozati kapcsolatot. Függetlenül attól, hogy egyidejűleg telepítette-e a csoportházirend- és a tartományvezérlő-frissítéseket, az alábbi side effectset láthatja:

  • A 14 karakternél nagyobb jelszóval nem kompatibilis alkalmazásokkal kapcsolatos problémákat jelenelt meg.

  • Akkor jelent meg a probléma, ha a Windows Server 2019 kiadási verziójának vegyesen része vagy a 2016-os verziójú, több mint 14 karakterből és a 14 karakternél régebbi jelszavakat és a 14 karakternél nem nagyobb jelszót támogató, előzetes Windows Server 2016-es verziójú, 2016 Windows-os verziójú DCS-kből állnak.

  • A KB4467684jelú frissítés telepítése után előfordulhat, hogy a fürtszolgáltatás nem indul el a "2245 (NERR_PasswordTooShort)" hibaüzenetkel, ha a "Minimális jelszóhossz" csoportházirend 14 karakternél hosszabb.

    Ennek az ismert problémának az a útmutatása, hogy a tartomány alapértelmezett "Minimális jelszóhossz" házirendje 14 karakternél nem hosszabb. Dolgozunk a probléma megoldásán, és egy későbbi kiadásban biztosítunk frissítést.

A korábbi problémák miatt a 2019. januári frissítésekben eltávolítottuk a 14 karakternél nagyobb jelszavak 14 karakteres támogatását, így ez a funkció nem használható.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.