Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Suvestinė

Windows 10 2020 m. rugpjūčio 18 d. išleisti naujinimai palaiko šiuos veiksmus:

  • Audito įvykiai, kad būtų galima nustatyti, ar taikomosios programos ir tarnybos palaiko 15 simbolių ar ilgesnius slaptažodžius.

  • Minimalaus 15 simbolių ar ilgesnio slaptažodžio ilgio vykdymas "Windows Server" 2004 m. domeno valdikliuose (DC).

Palaikomos "Windows

Toliau nurodytose "Windows" versijose palaikomas slaptažodžių ilgio Windows. "Windows Server" 2004 m. versijoje ir naujesnėse "Windows" versijose palaikomas minimalaus 15 simbolių ar ilgesnio slaptažodžio ilgio Windows.

„Windows“ versija

KB

Palaikymas

Windows 10 2004 m. Windows 2004 m. versija

Įtraukta į išleistą versiją

Vykdymas Tikrinimas

Windows 10 1909 Windows 1909 versija

KB4566116

Tikrinimas

Windows 10 1903 Windows 1903 versija

KB4566116

Tikrinimas

Windows 10 1809 versija Windows Server 1809 Windows Server 2019

KB4571748

Tikrinimas

Windows 10 1607 versija, Windows Server 2016

KB4601318

Tikrinimas

Siūlomas diegimas

Domeno valdikliai

Administravimo darbo vietos

Tikrinimas: Jei tik audituojate slaptažodžio naudojimą žemiau minimalios reikšmės, įdiekite toliau nurodytus veiksmus.

Įdiekite naujinimus visuose palaikomuose DC, kuriuose pageidaujamas auditas.

Įdiekite naujų grupės strategijos parametrų palaikomų administravimo darbo vietų naujinimus. Naudokite šias darbo vietas, kad diegtumėte atnaujintas grupės strategijas.

Vykdymas: Jei pageidaujate minimalaus ilgio slaptažodžio vykdymo, įdiekite toliau nurodytus veiksmus.

Windows Serveris, 2004 m. DCs versija. Visi DC turi būti šioje arba naujesnėje versijoje. Nereikia jokių papildomų naujinimų.

Naudokite Windows 10 2004 m. versiją. Nauji grupės strategijos vykdymo parametrai įtraukiami į šią versiją. Naudokite šias darbo vietas, kad diegtumėte atnaujintas grupės strategijas.

Diegimo gairės

Norėdami įtraukti minimalaus slaptažodžio ilgio tikrinimo ir vykdymo palaikymą, atlikite šiuos veiksmus:

  1. Įdiekite naujinimą visose palaikomose Windows visuose domeno valdikliuose.

    1. Domeno valdiklis: naujinimai ir vėlesni naujinimai įgalina palaikymą visuose DC autentifikuoti vartotojų arba paslaugų paskyras, kurios sukonfigūruotos naudoti daugiau nei 14 simbolių slaptažodžius.

    2. Administravimo darbo vieta: įdiekite naujinimus administravimo darbo vietose, kad būtų galima taikyti naujus grupės strategijos parametrus DC.

  2. Įjunkite parametrą MinimumPasswordLengthAudit grupės strategija domene arba miške, kuriame pageidaujami ilgesni būtini slaptažodžiai. Šis strategijos parametras turi būti įgalintas numatytoje domeno valdiklio politikoje, susieje su domeno valdikliais organizacijos vienetu (OU).

  3. Rekomenduojame palikti audito strategiją įjungta nuo trijų iki šešių mėnesių, kad būtų galima aptikti visą programinę įrangą, kuri nepalaiko slaptažodžių, didesnių nei 14 simbolių.

  4. Stebėkite katalogų tarnybų SAM 16978 įvykių domenus, prisijungusius prie programinės įrangos, kuri valdo slaptažodžius nuo trijų iki šešių mėnesių. Jums nereikia stebėti katalogų tarnybų SAM 16978 įvykių, užregistruotų vartotojų paskyrose.

    1. Jei įmanoma, sukonfigūruokite programinę įrangą, kad ji būtų naudojama ilgesniam slaptažodžio ilgiui.

    2. Dirbkite su programinės įrangos tiekėju, kad atnaujinkite programinę įrangą, kad būtų galima naudoti ilgesnius slaptažodžius.

    3. Įdiekite šios paskyros smulkiarūdžių slaptažodžių strategiją naudodami reikšmę, atitinkančią programinės įrangos naudojamą slaptažodžio ilgį.

    4. Programinei įrangai, kuri tvarko paskyros slaptažodžius, bet automatiškai nenaudo ilgų slaptažodžių ir negali būti sukonfigūruota naudoti ilgus slaptažodžius, šioms paskyroms gali būti naudojama smulkiarūdžių slaptažodžių strategija.

  5. Kai bus išspręsti visi katalogų tarnybos-SAM 16978 įvykiai, įjunkite minimalų slaptažodį. Norėdami tai padaryti, atlikite šiuos veiksmus:

    1. Įdiekite "Windows serverio versiją, palaikančią vykdymą visuose kompiuteriuose (įskaitant Read-Only DC).

    2. Įgalinkite "RelaxMinimumPasswordLengthLimits" grupės strategiją visuose DC.

    3. Konfigūruokite MinimalPasswordLength grupės strategiją visuose DC.

Grupės strategija

Strategijos kelias ir parametro pavadinimas, palaikomos versijos

Aprašas

Strategijos kelias: Kompiuterio konfigūravimas > Windows Parametrai > saugos Parametrai > paskyros strategijos –> Slaptažodžio strategija –> slaptažodžio ilgio audito parametro pavadinimas: MinimumPasswordLengthAudit

Palaikoma:

  • „Windows 10“ 1607 versija

  • „Windows Server 2016“

  • „Windows 10“ 1809 versija

  • „Windows Server“, 1809 versija

  • „Windows 10“ 1903 versija

  • Windows Serveris, 1903 versija

  • „Windows 10“ 1909 versija

  • Windows Serveris, 1909 versija

  • „Windows 10“, 2004 versija

  • Windows Serveris, 2004 m. versija

  • ir naujesnės versijos

Nereikia paleisti iš naujo

Minimalaus slaptažodžio ilgio auditas

Šis saugos parametras nustato minimalų slaptažodžio ilgį, kuriam išduodami slaptažodžio ilgio audito įspėjimo įvykiai. Šis parametras gali būti sukonfigūruotas nuo 1 iki 128.

Šį parametrą galite įjungti ir konfigūruoti tik tada, kai bandote nustatyti galimą minimalaus slaptažodžio ilgio parametro didinimo poveikį aplinkoje.

Jei šis parametras nėra apibrėžtas, audito įvykiai nebus išleisti.

Jei šis parametras apibrėžtas ir yra mažesnis arba lygus minimaliems slaptažodžio ilgio parametrams, audito įvykiai nebus išduodami.

Jei šis parametras apibrėžtas ir yra didesnis už minimalų slaptažodžio ilgio parametrą, o naujo paskyros slaptažodžio ilgis yra mažesnis už šį parametrą, bus išleistas audito įvykis.

Strategijos kelias ir parametro pavadinimas, palaikomos versijos

Aprašas

Strategijos kelias: Kompiuterio konfigūravimas > Windows Parametrai > Saugos Parametrai > Paskyros strategijos -> Slaptažodžių strategija -> Relax minimalaus slaptažodžio ilgio apribojimai Parametro pavadinimas: RelaxMinimumPasswordLengthLimits

Palaikoma:

  • „Windows 10“, 2004 versija

  • Windows Serveris, 2004 m. versija

  • ir naujesnės versijos

Nereikia paleisti iš naujo

Mažiausių slaptažodžių ilgio senstelėjusių apribojimų atsipalaiduokite

Šis parametras nustato, ar minimalaus slaptažodžio ilgio parametrą galima padidinti už senstelėjusios 14 ribos.

Jei šis parametras nėra apibrėžtas, minimalus slaptažodžio ilgis gali būti sukonfigūruotas ne daugiau kaip 14.

Jei šis parametras apibrėžtas ir išjungtas, minimalus slaptažodžio ilgis gali būti sukonfigūruotas ne daugiau kaip 14.

Jei šis parametras apibrėžtas ir įgalintas, minimalus slaptažodžio ilgis gali būti sukonfigūruotas daugiau nei 14.

Daugiau informacijos žr. https://go.microsoft.com/fwlink/?LinkId=2097191.

Strategijos kelias ir parametro pavadinimas, palaikomos versijos

Aprašas

Strategijos kelias: Kompiuterio konfigūravimas > Windows Parametrai > saugos Parametrai > paskyros strategijos -> Slaptažodžio strategija -> slaptažodžio ilgis Parametro pavadinimas: MinimumPasswordLength

Palaikoma:

  • „Windows 10“, 2004 versija

  • Windows Serveris, 2004 m. versija

  • ir naujesnės versijos

Nereikia paleisti iš naujo

Šis saugos parametras nustato, kiek simbolių gali būti vartotojo paskyros slaptažodyje.

Maksimali šio parametro reikšmė priklauso nuo parametro Relax minimalaus slaptažodžio ilgio apribojimų reikšmės.

Jei parametras Relax minimalaus slaptažodžio ilgio limitas nėra apibrėžtas, šis parametras gali būti sukonfigūruotas nuo 0 iki 14.

Jei parametras Relax minimalaus slaptažodžio ilgio limitas apibrėžtas ir išjungtas, šis parametras gali būti sukonfigūruotas nuo 0 iki 14.

Jei parametras Atsipalaiduoti minimaliu slaptažodžio ilgiu yra apibrėžtas ir įgalintas, šis parametras gali būti sukonfigūruotas nuo 0 iki 128.

Nustačius reikiamą simbolių skaičių į 0, slaptažodžio nereikia.

Pastaba Pagal numatytuosius nustatymus narių kompiuteriai seka jų domeno valdiklių konfigūraciją.

Numatytosios reikšmės:

  • 7 domeno valdikliuose

  • 0 autonominiuose serveriuose

Šio didesnio nei 14 parametro konfigūravimas gali turėti įtakos suderinamumui su klientais, paslaugomis ir programomis. Rekomenduojame sukonfigūruoti šį parametrą, didesnį nei 14, tik tada, kai naudojate minimalaus slaptažodžio ilgio audito parametrą, kad išbandykite, ar nėra galimų nesuderinamumų naujame parametre.

Windows įvykių žurnalo pranešimų peržiūra

Trys nauji įvykio ID žurnalo pranešimai įtraukiami kaip šio įtraukto palaikymo dalis.

Įvykio ID 16977

Įvykio ID 16977 bus užregistruotas, kai MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsarba MinimumPasswordLengthAudit strategijos parametrai iš pradžių sukonfigūruoti arba modifikuoti grupės strategijos. Šis įvykis bus užregistruotas tik dc. RelaxMinimumPasswordLengthLimits reikšmė bus užregistruota tik "Windows Server", 2004 m. ir naujesnės versijos DC.

Įvykių žurnalas

Sistema

Įvykio šaltinis

Directory-Services-SAM

Įvykio ID

16977

Lygis

Informacija

Įvykio pranešimo tekstas

Domenas sukonfigūruotas naudojant šiuos minimalius su slaptažodžio ilgiu susijusius parametrus.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

Daugiau informacijos žr. https://go.microsoft.com/fwlink/?LinkId=2097191.

Įvykio ID 16978

Įvykio ID 16978 bus užregistruotas pakeitus paskyros slaptažodį ir slaptažodis bus trumpesnis nei dabartinis Parametras MinimumPasswordLengthAudit.

Įvykių žurnalas

Sistema

Įvykio šaltinis

Directory-Services-SAM

Įvykio ID

16978

Lygis

Informacija

Įvykio pranešimo tekstas

Ši paskyra sukonfigūruota naudoti slaptažodį, kurio ilgis yra trumpesnis nei dabartinis Parametras MinimumPasswordLengthAudit.

AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:

Daugiau informacijos žr. https://go.microsoft.com/fwlink/?LinkId=2097191.

Įvykio ID 16979 vykdymas

Įvykio ID 16979 bus užregistruotas, kai netinkamai sukonfigūruoti audito grupės strategijos parametrai. Šis įvykis bus užregistruotas tik dc. RelaxMinimumPasswordLengthLimits reikšmė bus registruojama tik "Windows Server", 2004 ir naujesnės versijos DC. Tai yra už tai, kad būtų galima tai padaryti.

Įvykių žurnalas

Sistema

Įvykio šaltinis

Directory-Services-SAM

Įvykio ID

16979

Lygis

Klaida

Įvykio pranešimo tekstas

Domenas netinkamai sukonfigūruotas naudojant MinimumPasswordLength parametrą, kuris yra didesnis nei 14, o RelaxMinimumPasswordLengthLimits yra neapibrėžtas arba išjungtas.

Pastaba Kol tai bus pataisyta, domenas įkels mažesnį MinimumPasswordLength parametrą 14.Šiuo metu sukonfigūruota MinimumPasswordLength reikšmė:

Daugiau informacijos žr. https://go.microsoft.com/fwlink/?LinkId=2097191.

Įvykio ID 16979 auditas

Įvykio ID 16979 bus užregistruotas, kai netinkamai sukonfigūruoti audito grupės strategijos parametrai. Šis įvykis bus užregistruotas tik dc. Vienas naujas įvykių žurnalo pranešimas įtraukiamas į auditą kaip šio įtraukto palaikymo dalis.

Įvykių žurnalas

Sistema

Įvykio šaltinis

Directory-Services-SAM

Įvykio ID

16979

Lygis

Klaida

Įvykio pranešimo tekstas

Domenas netinkamai sukonfigūruotas naudojant parametrą MinimumPasswordLength, kuris yra didesnis nei 14.

Pastaba Kol tai bus pataisyta, domenas įkels mažesnį MinimumPasswordLength parametrą 14.

Šiuo metu sukonfigūruota MinimumPasswordLength reikšmė:

Daugiau informacijos žr. https://go.microsoft.com/fwlink/?LinkId=2097191.

Programinės įrangos slaptažodžio keitimo rekomendacijos

Nustatydami slaptažodį programinėje įrangoje naudokite maksimalų slaptažodžio ilgį.

Retrospektyva

Nors bendra "Microsoft" saugos strategija yra tvirtai orientuota į slaptažodį, mažiau ateities, daugelis klientų negali pereiti nuo slaptažodžių per trumpą ir vidutinį laikotarpį. Kai kurie saugos sumetimais suprantantys klientai nori, kad būtų galima konfigūruoti numatytąjį domeno minimalaus slaptažodžio ilgio parametrą, kuris yra didesnis nei 14 simbolių (pvz., klientai gali tai padaryti, kai žino savo vartotojus naudoti ilgesnius prieigos slaptažodžius, o ne tradicinius trumpus, vieno atpažinimo ženklo slaptažodžius). Palaikę šią užklausą, Windows 2018 m. balandžio mėn. "Windows Server 2016" naujinimai įgalino grupės strategijos keitimą, kuris padidino minimalų slaptažodžio ilgį nuo 14 iki 20 simbolių. Nors šis pakeitimas palaikė ilgesnį slaptažodį, jis galiausiai buvo nepakankamas ir atmetė naują reikšmę, kai buvo taikoma grupės strategija. Šie atmetimai buvo tylūs ir būtini išsamūs bandymai, kad būtų nustatyta, jog sistema nepalaiko ilgesnių slaptažodžių. "Windows Server 2016" ir "Windows Server 2019" buvo įtrauktas saugos paskyrų tvarkytuvo (SAM) lygmens tolesnis naujinimas, kad sistema tinkamai veiktų su minimaliu slaptažodžio ilgiu, didesniu nei 14 simbolių. "Windows Server 2016" ir "Windows Server 2019" buvo įtrauktas saugos paskyrų tvarkytuvo (SAM) lygmens tolesnis naujinimas, kad sistema tinkamai veiktų su minimaliu slaptažodžio ilgiu, didesniu nei 14 simbolių.

MinimalPasswordLength strategijos parametro leistinas diapazonas buvo nuo 0 iki 14 labai ilgą laiką (daug dešimtmečių) visose "Microsoft" platformose. Šis parametras taikomas tiek vietiniams Windows parametrams, tiek "Active Directory" (ir NT4 domenams prieš tai). Nulis (0) reiškia, kad jokiai paskyrai slaptažodžio nereikia.

Ankstesnėse "Windows" versijose grupės strategijos vartotojo sąsaja neįjungė minimalaus reikiamo slaptažodžio ilgio, ilgesnio nei 14 simbolių. Tačiau 2018 m. balandžio mėn. išleidome "Windows 10" naujinimus, kurie įtraukė daugiau nei 14 simbolių palaikymą grupės strategijos vartotojo sąsają kaip naujinimų dalį, pvz.:

  • KB 4093120 : 2018m. balandžio 17 d. – KB4093120 (OS komponavimo versija 14393.2214)

Į šį naujinimą įtrauktas šis leidimo pastabos tekstas:

"Padidina minimalų grupės strategijos slaptažodžio ilgį iki 20 simbolių."

Kai kurie klientai, kurie įdiegė 2018 m. balandžio leidimų ir pakeičia naujinimus, nustatė, kad jie vis dar negali naudoti daugiau nei 14 simbolių slaptažodžių. Tyrimas nustatė, kad reikia įdiegti papildomus naujinimus DC vaidmenų kompiuteriuose, kurie aptarnauja didesnius nei 14 simbolių slaptažodžius, apibrėžtus slaptažodžių politikoje. Šie naujinimai įgalino "Windows Server 2016", "Windows 10", 1607 versiją ir pradinį "Windows 10" domeno valdiklių leidimą į tarnybos prisijungimus ir autentifikavimo užklausas su daugiau nei 14 simbolių slaptažodžiais:

  • KB 4467684: 2018 m. lapkričio 27 d. – KB4467684 (OS komponavimo versija 14393.2639)

Į šį naujinimą įtrauktas šis leidimo pastabos tekstas:

"Išsprendžia problemą, kuri neleidžia domeno valdikliams taikyti grupės strategijos slaptažodžių strategijos, kai minimalus slaptažodžio ilgis yra didesnis nei 14 simbolių."

  • KB 4471327: 2018 m. gruodžio 11 d. – KB4471321 (OS komponavimo versija 14393.2665)

Kai kurie klientai, įdiegę 2018 m. balandžio mėn. – 2018 m. spalio naujinimus, kurie iš esmės liko neaktyvūs iki 2018 m. lapkričio ir 2018 m. gruodžio naujinimų, arba vietiniai OS įgalino domeno valdiklius tarnybos daugiau nei 14 simbolių slaptažodžių politikoje, taip pašalindami laiko / priežastinio ryšio saitą tarp funkcijų įgalinimo ir strategijos taikomosios programos. Nesvarbu, ar įdiegėte grupės strategiją ir domeno valdiklio naujinimus tuo pačiu metu, ar ne, galite matyti šiuos šalutinius efektus:

  • Su programomis, kurios šiuo metu nesuderinamos su didesniais nei 14 simbolių slaptažodžiais, kyla problemų.

  • Susiduriama su problemomis, kai domenai, kuriuos sudaro "Windows Server 2019" arba atnaujintų 2016 m. DC leidimo versijų derinys, kuris palaiko daugiau nei 14 simbolių slaptažodžius ir prieš "Windows Server 2016" DC, kurie nepalaiko daugiau nei 14 simbolių slaptažodžių (kol bus "backports" ir yra įdiegti "Windows Server 2016").

  • Įdiegus KB4467684,grupės tarnybai gali nepavykti paleisti klaidos "2245 (NERR_PasswordTooShort)", jei grupės strategija "Minimalus slaptažodžio ilgis" sukonfigūruota naudojant daugiau nei 14 simbolių.

    Šios žinomos problemos gairės buvo nustatyti domeno numatytąją strategiją "Minimalus slaptažodžio ilgis" kaip mažiau arba lygią 14 simbolių. Stengiamės rasti sprendimą ir pateiksime naujinimą būsimame leidime.

Dėl ankstesnių problemų 2019 m. sausio mėn. naujina, kad funkcijos negalima naudoti, 2019 m. sausio mėn. naujina daugiau nei 14 simbolių slaptažodžių DC pusėje.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.