Összefoglalás
Windows 10 2020. augusztus 18-án kiadott frissítések az alábbiakhoz nyújt támogatást:
-
Audit Events to identify whether applications and services support 15-character or longer passwords.
-
A 2004-es verziójú tartományvezérlőkön legalább 15 karakter hosszúságú jelszavak kényszerítése Windows kiszolgálón.
A Windows támogatott verziói
A jelszavak hosszának naplózását az alábbi verziók Windows. A 15 karakterből vagy több karakterből állhat jelszavak minimális hosszának kényszerítése támogatott a Windows Server 2004-es és újabb verzióiban Windows.
|
Windows-verzió |
KB-szám |
Támogatás |
|
Windows 10 Server 2004-es Windows 2004-es verziója |
A kiadott verzió része |
Kényszerítás Naplózás |
|
Windows 10 1909-es verzió és Windows Server 1909-es verziója |
Naplózás |
|
|
Windows 10 1903-as verzió és Windows Server 1903-as verziója |
Naplózás |
|
|
Windows 10, 1809-es verzió Windows Server version 1809 Windows Server 2019 |
Naplózás |
|
|
Windows 10 1607-es verzió Windows Server 2016 |
Naplózás |
Javasolt üzembe helyezés
|
Tartományvezérlők |
Felügyeleti munkaállomások |
|
|
Naplózás: Ha a jelszóhasználat naplózása nem ér el egy minimális értéket, akkor telepítse az alábbiak szerint. |
Telepítsen frissítéseket az összes olyan támogatott számítógépen, ahol naplózást kíván. |
Frissítések telepítése támogatott felügyeleti munkaállomásokra új csoportházirend-beállításokhoz. Használja ezeket a munkaállomásokat a frissített csoportházirendek telepítéséhez. |
|
Kényszerítési: Ha minimális hosszú jelszó-kényszerítési eljárásra van szükség, akkor telepítse az alábbiak szerint. |
Windows Kiszolgáló, 2004-es verziójú DCS. Az összes DCS-nek ebben a verzióban vagy egy újabb verzióban kell lennie. További frissítésekre nincs szükség. |
Használja Windows 10 2004-es verziót. Az új csoportházirend-kényszerítési beállítások ebben a verzióban szerepelnek. Használja ezeket a munkaállomásokat a frissített csoportházirendek telepítéséhez. |
Telepítési útmutató
Ha a jelszó minimális hosszának naplózását és kényszerítési támogatását is hozzá szeretne adni, kövesse az alábbi lépéseket:
-
Telepítse a frissítést az összes támogatott Windows tartományvezérlőn.
-
Tartományvezérlő: A frissítések és a későbbi frissítések lehetővé teszik a támogatást az összes számítógépen a 14 karakternél nagyobb jelszavak használatára konfigurált felhasználói vagy szolgáltatásfiókok hitelesítéséhez.
-
Felügyeleti munkaállomás: A frissítéseket felügyeleti munkaállomásokra telepítheti, hogy az új csoportházirend-beállításokat alkalmazni tudják a pc-kre.
-
-
Engedélyezze a MinimumPasswordLengthAudit csoportházirend-beállítást olyan tartományban vagy erdőben, ahol hosszabb jelszót kell megadni. Ezt a házirendbeállítást engedélyezni kell az alapértelmezett tartományvezérlő szervezeti egységhez kapcsolt házirendben.
-
Azt javasoljuk, hogy hagyja engedélyezni a naplózási házirendet három-hat hónapig, hogy észlelje az összes olyan szoftvert, amely nem támogatja a 14 karakternél hosszabb jelszavakat.
-
A címtárszolgáltatások-SAM 16978-as eseményekhez naplózott tartományok figyelése olyan szoftverrel, amely 3–6 hónapig kezelte a jelszavakat. Nem kell a felhasználói fiókokon naplózott Címtár-Services-SAM 16978-eseményeket figyelni.
-
Ha lehetséges, konfigurálja a szoftvert hosszabb jelszóhosszúra.
-
A szoftver gyártójával együtt frissítheti a szoftvert, hogy hosszabb jelszavakat használjon.
-
Ehhez a fiókhoz egy, a szoftver által használt jelszóhossznak megfelelő értéket használva telepíthet egy további, a jelszóra vonatkozó házirendet.
-
Az olyan szoftverek esetén, amelyek fiókjelszavak kezelésére, de nem használnak automatikusan hosszú jelszavakat, és nem konfigurálható hosszú jelszavak használatára, ezekre a fiókokra egy további, a jelszóra vonatkozó házirend használható.
-
-
Miután az összes címtárszolgáltatás-SAM 16978-eseménynek megcímzével foglalkozott, engedélyezzen egy minimális jelszót. Ehhez kövesse a következő lépéseket:
-
Telepítse a Windows-kiszolgáló egy olyan verzióját, amely támogatja a kényszerítési érvényt az összes számítógépen (beleértve a Read-Only is).
-
Engedélyezze a RelaxMinimumPasswordLengthLimits csoportházirendet az összes DCS-n.
-
Konfigurálja a MinimumJelszóLength csoportházirendet az összes számítógépen.
-
Csoportházirend
|
Házirend elérési útja és beállítása, támogatott verziók |
Leírás |
|
Házirend elérési útja: Számítógép konfigurációja > Windows Gépház > biztonsági Gépház > fiók házirendek -> jelszó-házirend -> Minimális jelszóhossz-naplózási név: MinimumPasswordLengthAudit Támogatott:
Nincs szükség újraindításra |
A jelszavak hosszának minimális ellenőrzése Ez a biztonsági beállítás határozza meg azt a minimális jelszóhosszt, amelyhez jelszóhossz-naplózási figyelmeztetést adtak ki. Ez a beállítás 1 és 128 között lehet konfigurálva. Ezt a beállítást csak akkor engedélyezze és konfigurálja, amikor megpróbálja megállapítani, hogy lehetséges-e növelni a jelszó minimális hosszát a környezetében. Ha nincs megadva ez a beállítás, akkor a naplóesemények nem lesznek kiadva. Ha ez a beállítás meg van adva, és nem kisebb a jelszó minimális hosszára vonatkozó beállításnál, akkor a naplóesemények nem lesznek kiadva. Ha ez a beállítás meg van adva, és nagyobb a jelszó minimális hosszára vonatkozó beállításnál, és az új fiókjelszó hossza kisebb, mint ez a beállítás, naplóeseményt ad ki a rendszer. |
|
Házirend elérési útja és beállítása, támogatott verziók |
Leírás |
|
Házirend elérési útja: Számítógép konfigurációja > Windows Gépház > biztonsági Gépház > fiókházirendek - > jelszóházirend -> Minimális jelszóhossz-korlátozások kipihenése: RelaxMinimumPasswordLengthLimits Támogatott:
Nincs szükség újraindításra |
A jelszó minimális hosszának kipihenése régi korlátozások Ez a beállítás azt szabályozza, hogy a minimális jelszóhossz-beállítás növelhető-e a régi 14-es korlátnál. Ha nincs megadva ez a beállítás, akkor a jelszó minimális hossza nem lehet 14-esnél hosszabb. Ha ez a beállítás be van állítva és le van tiltva, akkor a jelszó minimális hossza nem lehet 14-esnél hosszabb. Ha ez a beállítás be van állítva és engedélyezve van, a jelszó minimális hossza 14-nél hosszabb lehet. További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Házirend elérési útja és beállítása, támogatott verziók |
Leírás |
|
Házirend elérési útja: Számítógép konfigurációja > Windows Gépház > biztonsági Gépház > fiók házirendek -> jelszó-házirend -> Minimális jelszóhossz Beállítás neve: MinimumPasswordLength Támogatott:
Nincs szükség újraindításra |
Ez a biztonsági beállítás határozza meg, hogy a felhasználói fiókok jelszava hány karaktert tartalmazhat a legkevesebb karakterből. Ennek a beállításnak a maximális értéke a Jelszó minimális hosszának kipihenése beállítás értékétől függ. Ha a Jelszó minimális hosszára vonatkozó korlátozások nincs megadva, ez a beállítás 0-tól 14-ig lehet konfigurálva. Ha a Jelszó minimális hosszára vonatkozó korlátozások be vannak állítva és le vannak tiltva, ez a beállítás 0 és 14 között lehet beállítva. Ha be van állítva és engedélyezett a Jelszó minimális hosszára vonatkozó korlátozás, ez a beállítás 0 és 128 között lehet beállítva. Ha a kötelező karakterek számát 0-ra omktrasztja, az azt jelenti, hogy nincs szükség jelszóra. Megjegyzés A tag számítógépek alapértelmezés szerint a tartományvezérlők konfigurációját követik. Alapértelmezett értékek:
Ha 14-nél nagyobb beállítást ad meg, az hatással lehet az ügyfelekkel, szolgáltatásokkal és alkalmazásokkal való kompatibilitásra. Azt javasoljuk, hogy ezt a beállítást csak 14-esnél nagyobbra állítsa be, miután a Jelszó minimális hossza naplózási beállítással tesztelni tudja az esetleges inkompatibilitásokat az új beállítással. |
Windows naplóüzenetek megtekintése
A hozzáadott támogatás részeként három új eseményazonosító-üzenetet is mellékeltünk.
16977-es eseményazonosító
A 16977-es eseményazonosítót a rendszer akkor naplózza, ha a Csoportházirendben kezdetben beállítja vagy módosítja a MinimumPasswordLengthLength,a RelaxMinimumPasswordLengthLimitsvagy a MinimumPasswordLengthAudit házirend-beállításokat. Ezt az eseményt csak a számítógépen naplózza a rendszer. A RelaxMinimumPasswordLengthLimits értéket csak az Windows Server 2004-es és újabb verzióiban naplózza a rendszer.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
Directory-Services-SAM |
|
Eseményazonosító |
16977 |
|
Szint |
Információ |
|
Esemény üzenetszövege |
A tartomány az alábbi minimális jelszóhosszú beállításokkal van konfigurálva. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit: További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191. |
16978-as eseményazonosító
A rendszer a 16978-as eseményazonosítót naplózza, ha egy fiókjelszó megváltozik, és a jelszó rövidebb az aktuális MinimumPasswordLengthAudit beállításnál.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
Directory-Services-SAM |
|
Eseményazonosító |
16978 |
|
Szint |
Információ |
|
Esemény üzenetszövege |
Az alábbi fiók úgy van konfigurálva, hogy olyan jelszót használjon, amelynek a hossza rövidebb, mint a jelenlegi MinimumPasswordLengthAudit beállítás. AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit: További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191. |
16979-es eseményazonosító kényszerítési
Az 16979-es eseményazonosítót a rendszer akkor naplózza, ha a naplózási csoportházirend beállításai nem megfelelőek. Ezt az eseményt csak a számítógépen naplózza a rendszer. A RelaxMinimumPasswordLengthLimits értéket csak a Windows Server 2004-es és újabb verzióiban naplózza a rendszer. Ez a kényszerítéshez szükséges.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
Directory-Services-SAM |
|
Eseményazonosító |
16979 |
|
Szint |
Hiba |
|
Esemény üzenetszövege |
A tartomány helytelenül van beállítva egy 14-esnél nagyobb MinimumJelszóLength beállítással, míg a RelaxMinimumPasswordLengthLimits meghatározatlan vagy letiltva van. Megjegyzés A javításig a tartomány egy kisebb, 14-es minimumJelszóLength beállítást fog érvényesíteni.Jelenleg konfigurált MinimumPasswordLength érték: További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191. |
16979-es eseményazonosító naplózás
Az 16979-es eseményazonosítót a rendszer akkor naplózza, ha a naplózási csoportházirend beállításai nem megfelelőek. Ezt az eseményt csak a számítógépen naplózza a rendszer. A hozzáadott támogatás részeként a naplózáshoz egy új eseménynaplóüzenet tartozik.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
Directory-Services-SAM |
|
Eseményazonosító |
16979 |
|
Szint |
Hiba |
|
Esemény üzenetszövege |
A tartomány helytelenül van beállítva egy 14-esnél nagyobb MinimumJelszóLength beállítással. Megjegyzés A javításig a tartomány egy kisebb, 14-es(MinimumPasswordLength) beállítást fog érvényesíteni. Jelenleg konfigurált MinimumPasswordLength érték: További információért lásd: https://go.microsoft.com/fwlink/?LinkId=2097191. |
Útmutató a szoftverjelszavak változásához
A jelszavak szoftverben való beállításakor használja a maximális jelszóhosszt.
Előzmények
Bár a Microsoft általános biztonsági stratégiáját csak a jelszóval nem elérhető jövőre összpontosítja, sok ügyfél nem képes rövid–közepes távon áttűnni a jelszavakból. Néhány biztonsággal még nagyobb biztonsággal járó ügyfelek szeretnék beállítani a tartomány minimális jelszóhosszú alapértelmezett, 14 karakternél hosszabb beállítását (például miután arra oktatják felhasználóikat, hogy a hagyományos rövid, egyetlen tokenjelszavak helyett hosszabb jelszavakat használjanak). A kérelem támogatása érdekében a Windows Windows Server 2016 2018. áprilisi frissítései lehetővé tettek egy csoportházirend-módosítási beállítást, amely 14-ről 20 karakterre növelte a jelszavak minimális hosszát. Bár ez a módosítás a hosszabb jelszó támogatására jelent meg, végső soron nem volt elég, és elutasította az új értéket a csoportházirend alkalmazásakor. Az elutasítások csendesek voltak, és részletes tesztelést megköveteltek annak meghatározásához, hogy a rendszer nem támogatja-e a hosszabb jelszavakat. A Security Account Manager (SAM) réteghez egy további frissítés tartozott az Windows Server 2016 és a Windows Server 2019 rendszerhez is, hogy a rendszer megfelelően működjön a végpontok között úgy, hogy a jelszó legalább 14 karakter hosszú legyen. A Security Account Manager (SAM) réteghez egy további frissítés tartozott az Windows Server 2016 és a Windows Server 2019 rendszerhez is, hogy a rendszer megfelelően működjön a végpontok között úgy, hogy a jelszó legalább 14 karakter hosszú legyen.
A MinimumPasswordLength házirendbeállításnak 0 és 14 közötti tartománya volt az összes Microsoft-platformon. Ez a beállítás a helyi biztonsági Windows az Active Directoryra (és korábban az NT4-tartományokra) egyaránt érvényes. A nulla (0) érték azt jelenti, hogy nincs szükség jelszóra egyetlen fiókhoz sem.
Az Windows korábbi verzióiban a csoportházirend felhasználói felülete nem tette lehetővé a 14 karakternél hosszabb, minimálisan szükséges jelszóhossz beállítását. 2018 áprilisában azonban kiadtunk egy Windows 10-frissítést, amely több mint 14 karakteres támogatást adott a csoportházirend felhasználói felületéhez az olyan frissítések részeként, mint például:
-
KB 4093120: 2018. április 17. – KB4093120 (az operációs rendszer 14393.2214-es build)
Ez a frissítés a következő kibocsátási megjegyzésszöveget tartalmazza:
"A csoportházirendben a jelszó minimális hosszát 20 karakterre növeli."
Egyes ügyfelek, akik telepítették a 2018. áprilisi kiadásokat, és feleslegesen telepítették a frissítéseket, azt megtalálták, hogy továbbra sem használhatnak 14 karakternél több jelszót. A vizsgálat azt azonosította, hogy a jelszó-házirendben meghatározott, 14 karakternél több jelszót karbantartási számítógépeken további frissítéseket kell telepíteni a dc-hez használt számítógépekre. A következő frissítések engedélyezték a Windows Server 2016, az Windows 10 1607-es verzióját és az Windows 10-tartományvezérlők kezdeti kiadását a 14 karakternél nagyobb jelszóval rendelkező bejelentkezési és hitelesítési kérések szolgáltatására:
-
KB 4467684:2018. november 27. – KB4467684 (az operációs rendszer 14393.2639-es build)
Ez a frissítés a következő kibocsátási megjegyzésszöveget tartalmazza:
"Elhárítottuk a hibát, amely megakadályozta, hogy a tartományvezérlők csoportházirend-jelszó-házirendet alkalmazzanak, ha a jelszó minimális hosszát 14 karakternél hosszabbra konfigurálták."
-
KB 4471327:2018. december 11. – KB4471321 (az operációs rendszer 14393.2665-ös build)
Egyes ügyfelek a 2018. áprilisi és 2018. októberi frissítések telepítése után 14 karakternél nagyobb jelszavakat definiáltak a házirendben, amelyek gyakorlatilag inaktívak 2018 novemberéig és 2018 decemberéig, illetve egy natív operációsrendszer-kompatibilis tartományvezérlőnél, hogy 14 karakternél nagyobb jelszavakat használjanak a házirendben, ezáltal eltávolítva a funkció engedélyezése és a házirend alkalmazása közötti idő/ok-okozati kapcsolatot. Függetlenül attól, hogy egyidejűleg telepítette-e a csoportházirend- és a tartományvezérlő-frissítéseket, az alábbi side effectset láthatja:
-
A 14 karakternél nagyobb jelszóval nem kompatibilis alkalmazásokkal kapcsolatos problémákat jelenelt meg.
-
Akkor jelent meg a probléma, ha a Windows Server 2019 kiadási verziójának vegyesen része vagy a 2016-os verziójú, több mint 14 karakterből és a 14 karakternél régebbi jelszavakat és a 14 karakternél nem nagyobb jelszót támogató, előzetes Windows Server 2016-es verziójú, 2016 Windows-os verziójú DCS-kből állnak.
-
A KB4467684jelú frissítés telepítése után előfordulhat, hogy a fürtszolgáltatás nem indul el a "2245 (NERR_PasswordTooShort)" hibaüzenetkel, ha a "Minimális jelszóhossz" csoportházirend 14 karakternél hosszabb.
Ennek az ismert problémának az a útmutatása, hogy a tartomány alapértelmezett "Minimális jelszóhossz" házirendje 14 karakternél nem hosszabb. Dolgozunk a probléma megoldásán, és egy későbbi kiadásban biztosítunk frissítést.
A korábbi problémák miatt a 2019. januári frissítésekben eltávolítottuk a 14 karakternél nagyobb jelszavak 14 karakteres támogatását, így ez a funkció nem használható.
