Samenvatting
Windows 10 updates die zijn uitgebracht op 18 augustus 2020, worden de volgende ondersteuning toegevoegd:
-
Auditgebeurtenissen om te bepalen of toepassingen en services wachtwoorden van 15 tekens of langer ondersteunen.
-
Afdwingen van minimale wachtwoordlengten van 15 tekens of meer op Windows Server, versie 2004-domeincontrollers (DC's).
Ondersteunde versies van Windows
Controle van wachtwoordlengten wordt ondersteund in de volgende versies van Windows. Handhaving van minimale wachtwoordlengten van 15 tekens of meer wordt ondersteund in Windows Server, versie 2004 en in latere versies van Windows.
Windows-versie |
KB |
Ondersteuning |
Windows 10, versie 2004 Windows Server versie 2004 |
Opgenomen in de uitgebrachte versie |
Afdwingen Controle |
Windows 10, versie 1909 Windows Server versie 1909 |
Controle |
|
Windows 10, versie 1903 Windows Server versie 1903 |
Controle |
|
Windows 10 versie 1809 Windows Serverversie 1809 Windows Server 2019 |
Controle |
|
Windows 10 versie 1607 Windows Server 2016 |
Controle |
Voorgestelde implementatie
Domeincontrollers |
Beheerwerkstations |
|
Controle: Als alleen het wachtwoordgebruik onder een minimumwaarde wordt gecontroleerd, implementeert u deze als volgt. |
Updates implementeren voor alle ondersteunde DC's waar auditing gewenst is. |
Updates implementeren voor ondersteunde beheerwerkstations voor nieuwe groepsbeleidsinstellingen. Gebruik deze werkstations om bijgewerkt groepsbeleid te implementeren. |
Handhaving: Als minimale lengte wachtwoord afdwingen gewenst is, implementeert u deze als volgt. |
Windows Server, versie 2004-dc's. Alle DC's moeten in deze versie of een latere versie zijn. Er zijn geen extra updates nodig. |
Gebruik Windows 10, versie 2004. De nieuwe groepsbeleidsinstellingen voor afdwinging zijn opgenomen in deze versie. Gebruik deze werkstations om bijgewerkt groepsbeleid te implementeren. |
Implementatierichtlijnen
Als u ondersteuning wilt toevoegen voor minimale controle en afdwinging van wachtwoorden, volgt u de volgende stappen:
-
Implementeer de update voor alle ondersteunde Windows versies op alle domeincontrollers.
-
Domeincontroller: met de updates en latere updates kan ondersteuning worden ingeschakeld voor alle DCs om gebruikers- of serviceaccounts te verifiëren die zijn geconfigureerd voor het gebruik van wachtwoorden met meer dan 14 tekens.
-
Beheerwerkstation: Implementeer de updates voor beheerwerkstations om het toepassen van de nieuwe instellingen voor groepsbeleid toe te staan op dc's.
-
-
Schakel de instelling MinimumPasswordLengthAudit Group Policy in op een domein of forest waar langer vereiste wachtwoorden gewenst zijn. Deze beleidsinstelling moet zijn ingeschakeld in het beleid van de standaarddomeincontroller dat is gekoppeld aan de organisatie-eenheid domeincontrollers (OU).
-
Het is raadzaam het controlebeleid drie tot zes maanden ingeschakeld te laten om alle software te detecteren die geen ondersteuning biedt voor wachtwoorden van meer dan 14 tekens.
-
Controleer domeinen voor directory-services-SAM 16978-gebeurtenissen die zijn geregistreerd tegen software waarmee wachtwoorden drie tot zes maanden zijn beheerd. U hoeft de gebeurtenissen in Directory-Services-SAM 16978 die zijn geregistreerd met gebruikersaccounts, niet te controleren.
-
Als dit mogelijk is, configureert u de software om een langere wachtwoordlengte te gebruiken.
-
Werk samen met de softwareleverancier om de software bij te werken om langere wachtwoorden te gebruiken.
-
Implementeer een fijnkorrelig wachtwoordbeleid voor dit account met behulp van een waarde die overeenkomt met de wachtwoordlengte die door de software wordt gebruikt.
-
Voor software die accountwachtwoorden beheert, maar niet automatisch lange wachtwoorden gebruikt en niet kan worden geconfigureerd voor het gebruik van lange wachtwoorden, kan een fijnkorrelig wachtwoordbeleid voor deze accounts worden gebruikt.
-
-
Nadat alle adreslijst-Services-SAM 16978-gebeurtenissen zijn geadresseerd, kunt u een minimumwachtwoord inschakelen. Ga hiervoor als volgt te werk:
-
Implementeer een versie van Windows Server die handhaving ondersteunt op alle dc's (inclusief Read-Only DCs).
-
Schakel het groepsbeleid RelaxMinimumPasswordLengthLimits in op alle DC's.
-
Configureer het Groepsbeleid van MinimumPasswordLength op alle DC's.
-
Groepsbeleid
Beleidspad en instellingsnaam, ondersteunde versies |
Beschrijving |
Beleidspad: Computerconfiguratie > Windows Instellingen > Beveiligingsbeleid Instellingen > accountbeleid -> Wachtwoordbeleid -> Minimale wachtwoordlengte controle Naam instellen: MinimumPasswordLengthAuditOndersteund op:
Een herstart is niet vereist |
Minimale wachtwoordlengtecontrole Deze beveiligingsinstelling bepaalt de minimale wachtwoordlengte waarvoor auditwaarschuwingsgebeurtenissen voor wachtwoordlengte worden uitgegeven. Deze instelling kan worden geconfigureerd tussen 1 en 128. U moet deze instelling alleen inschakelen en configureren wanneer u het mogelijke effect van het verhogen van de minimumlengte van het wachtwoord in uw omgeving probeert te bepalen. Als deze instelling niet is gedefinieerd, worden er geen auditgebeurtenissen uitgegeven. Als deze instelling is gedefinieerd en kleiner is dan of gelijk is aan de minimuminstelling voor wachtwoordlengte, worden er geen auditgebeurtenissen uitgegeven. Als deze instelling is gedefinieerd en groter is dan de minimale wachtwoordlengte en de lengte van een nieuw accountwachtwoord kleiner is dan deze instelling, wordt er een auditgebeurtenis uitgegeven. |
Beleidspad en instellingsnaam, ondersteunde versies |
Beschrijving |
Beleidspad: Computerconfiguratie > Windows Instellingen > Beveiligingsbeleid Instellingen > Accountbeleid -> Wachtwoordbeleid -> Minimale wachtwoordlengtelimieten instellen Instellen naam: RelaxMinimumPasswordLengthLimitsOndersteund op:
Een herstart is niet vereist |
Minimumlimieten voor wachtwoordlengte beperken Met deze instelling bepaalt u of de instelling voor de minimale wachtwoordlengte kan worden verhoogd tot boven de oudere limiet van 14. Als deze instelling niet is gedefinieerd, kan de minimale wachtwoordlengte worden geconfigureerd op niet meer dan 14. Als deze instelling is gedefinieerd en uitgeschakeld, kan de minimale wachtwoordlengte worden geconfigureerd op niet meer dan 14. Als deze instelling is gedefinieerd en ingeschakeld, kan de minimale wachtwoordlengte meer dan 14 zijn geconfigureerd. Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=2097191. |
Beleidspad en instellingsnaam, ondersteunde versies |
Beschrijving |
Beleidspad: Computerconfiguratie > Windows Instellingen > Beveiligingsbeleid Instellingen > -> Wachtwoordbeleid -> Minimale wachtwoordlengte Naam instellen: MinimumPasswordLengthOndersteund op:
Een herstart is niet vereist |
Deze beveiligingsinstelling bepaalt het minste aantal tekens dat een wachtwoord voor een gebruikersaccount kan bevatten. De maximumwaarde voor deze instelling is afhankelijk van de waarde van de instelling Minimumwachtwoordlengte ontspannen. Als de instelling Minimumwachtwoordlengte ontspannen niet is gedefinieerd, kan deze instelling worden geconfigureerd van 0 tot 14. Als de instelling Minimumwachtwoordlengte ontspannen is gedefinieerd en uitgeschakeld, kan deze instelling worden geconfigureerd tussen 0 en 14. Als de instelling Minimumwachtwoordlengte ontspannen is gedefinieerd en ingeschakeld, kan deze instelling worden geconfigureerd van 0 tot 128. Als u het vereiste aantal tekens instelt op 0, betekent dit dat er geen wachtwoord vereist is. Opmerking Ledencomputers volgen standaard de configuratie van hun domeincontrollers. Standaardwaarden:
Het configureren van deze instelling groter dan 14 kan van invloed zijn op de compatibiliteit met clients, services en toepassingen. U wordt aangeraden deze instelling alleen te configureren die groter is dan 14 nadat u de auditinstelling Minimale wachtwoordlengte hebt gebruikt om te testen op mogelijke incompatibiliteiten in de nieuwe instelling. |
Windows gebeurtenislogboekberichten
Drie nieuwe logboekberichten voor gebeurtenis-id's worden opgenomen als onderdeel van deze toegevoegde ondersteuning.
Gebeurtenis-id 16977
Gebeurtenis-id 16977 wordt geregistreerd wanneer MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsof MinimumPasswordLengthAudit-beleidsinstellingen in eerste instantie zijn geconfigureerd of gewijzigd in groepsbeleid. Deze gebeurtenis wordt alleen aangemeld op dc's. De waarde RelaxMinimumPasswordLengthLimits wordt alleen aangemeld bij Windows Server, versie 2004 en latere versie-DC's.
Gebeurtenislogboek |
Systeem |
Gebeurtenisbron |
Directory-Services-SAM |
Gebeurtenis-id |
16977 |
Niveau |
Informatie |
Tekst van gebeurtenisbericht |
Het domein wordt geconfigureerd met behulp van de volgende minimuminstellingen voor wachtwoordlengte. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=2097191. |
Gebeurtenis-id 16978
Gebeurtenis-id 16978 wordt geregistreerd wanneer een accountwachtwoord wordt gewijzigd en het wachtwoord korter is dan de huidige instelling MinimumPasswordLengthAudit.
Gebeurtenislogboek |
Systeem |
Gebeurtenisbron |
Directory-Services-SAM |
Gebeurtenis-id |
16978 |
Niveau |
Informatie |
Tekst van gebeurtenisbericht |
Het volgende account is geconfigureerd voor het gebruik van een wachtwoord waarvan de lengte korter is dan de huidige instelling MinimumPasswordLengthAudit. Accountnaam: MinimumPasswordLength: MinimumPasswordLengthAudit:Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=2097191. |
Gebeurtenis-id 16979 Afdwingen
Gebeurtenis-id 16979 wordt geregistreerd wanneer de instellingen voor het controleren van groepsbeleid onjuist zijn geconfigureerd. Deze gebeurtenis wordt alleen aangemeld op dc's. De waarde RelaxMinimumPasswordLengthLimits wordt alleen aangemeld bij Windows Server, versie 2004 en latere versie-DC's. Dit is voor afdwinging.
Gebeurtenislogboek |
Systeem |
Gebeurtenisbron |
Directory-Services-SAM |
Gebeurtenis-id |
16979 |
Niveau |
Fout |
Tekst van gebeurtenisbericht |
Het domein is onjuist geconfigureerd met een instelling MinimumPasswordLength die groter is dan 14, terwijl RelaxMinimumPasswordLengthLimits niet is gedefinieerd of uitgeschakeld. Opmerking Totdat dit is gecorrigeerd, wordt door het domein een kleinere minimumpasswordlength-instelling van 14 afgedwongen. Momenteel geconfigureerde MinimumPasswordLength-waarde:Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=2097191. |
Gebeurtenis-id 16979 Auditing
Gebeurtenis-id 16979 wordt geregistreerd wanneer de instellingen voor het controleren van groepsbeleid onjuist zijn geconfigureerd. Deze gebeurtenis wordt alleen aangemeld op dc's. Een nieuw gebeurtenislogboekbericht is opgenomen voor auditing als onderdeel van deze toegevoegde ondersteuning.
Gebeurtenislogboek |
Systeem |
Gebeurtenisbron |
Directory-Services-SAM |
Gebeurtenis-id |
16979 |
Niveau |
Fout |
Tekst van gebeurtenisbericht |
Het domein is onjuist geconfigureerd met een instelling MinimumPasswordLength die groter is dan 14. Opmerking Totdat dit is gecorrigeerd, wordt met het domein een kleinere minimumpasswordlength-instellingvan 14 afgedwongen. Momenteel geconfigureerde MinimumPasswordLength-waarde: Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=2097191. |
Richtlijnen voor het wijzigen van softwarewachtwoord
Gebruik de maximale wachtwoordlengte bij het instellen van een wachtwoord in software.
Geschiedenis
Hoewel de algehele beveiligingsstrategie van Microsoft sterk is gericht op een toekomst zonder wachtwoord, kunnen veel klanten geen wachtwoorden migreren voor de korte tot middellange termijn. Sommige beveiligingsbewuste klanten willen een standaardinstelling voor minimale wachtwoordlengte voor het domein kunnen configureren die groter is dan 14 tekens (klanten kunnen dit bijvoorbeeld doen nadat ze hun gebruikers hebben gevraagd langere wachtwoordzinnen te gebruiken in plaats van de traditionele korte, enkele tokenwachtwoorden). Ter ondersteuning van dit verzoek heeft Windows Updates in april 2018 voor Windows Server 2016 een wijziging van groepsbeleid ingeschakeld waarmee de minimale wachtwoordlengte is verhoogd van 14 naar 20 tekens. Hoewel deze wijziging langer wachtwoord leek te ondersteunen, was deze uiteindelijk onvoldoende en werd de nieuwe waarde geweigerd toen het groepsbeleid werd toegepast. Deze afwijzingen waren stil en vereist gedetailleerde tests om te bepalen dat het systeem geen langere wachtwoorden ondersteunde. Voor zowel Windows Server 2016 als Windows Server 2019 is een follow-upupdate voor de SAM-laag (Security Account Manager) opgenomen, zodat het systeem end-to-end correct kan werken met een minimale wachtwoordlengte groter dan 14 tekens. Voor zowel Windows Server 2016 als Windows Server 2019 is een follow-upupdate voor de SAM-laag (Security Account Manager) opgenomen, zodat het systeem end-to-end correct kan werken met een minimale wachtwoordlengte groter dan 14 tekens.
De beleidsinstelling MinimumPasswordLength heeft een toegestan bereik van 0 tot 14 voor een zeer lange tijd (vele tientallen jaren) op alle Microsoft-platforms. Deze instelling is van toepassing op lokale Windows en Active Directory (en NT4-domeinen daarvoor). Een waarde van nul (0) houdt in dat er geen wachtwoord vereist is voor een account.
In eerdere versies van Windows groepsbeleids ui is het instellen van minimaal vereiste wachtwoordlengten langer dan 14 tekens niet ingeschakeld. In april 2018 hebben we echter de Windows 10-updates uitgebracht die ondersteuning hebben toegevoegd voor meer dan 14 tekens in de gebruikersinterface van groepsbeleid als onderdeel van updates, zoals:
-
KB 4093120: 17 april 2018—KB4093120 (os build 14393.2214)
Deze update bevat de volgende tekst van de releasenota:
'Verhoogt de minimale wachtwoordlengte in groepsbeleid tot 20 tekens'.
Sommige klanten die de versies van april 2018 hebben geïnstalleerd en updates hebben overgeslagen, hebben ontdekt dat ze nog steeds geen wachtwoorden met meer dan 14 tekens kunnen gebruiken. Uit onderzoek is vastgesteld dat er extra updates moeten worden geïnstalleerd op dc-rollencomputers die de wachtwoorden met meer dan 14 tekens onderhouden die zijn gedefinieerd in het wachtwoordbeleid. Met de volgende updates zijn Windows Server 2016, Windows 10, versie 1607 en de eerste release van Windows 10-domeincontrollers ingeschakeld voor het servicen van aanmeldings- en verificatieaanvragen met meer dan 14 tekens:
-
KB 4467684: 27 november 2018—KB4467684 (os build 14393.2639)
Deze update bevat de volgende tekst van de releasenota:
'Hiermee wordt een probleem opgelost waardoor domeincontrollers het wachtwoordbeleid voor groepsbeleid niet kunnen toepassen wanneer de minimale wachtwoordlengte groter is dan 14 tekens.'
-
KB 4471327: 11 december 2018—KB4471321 (os build 14393.2665)
Sommige klanten hebben wachtwoorden met meer dan 14 tekens gedefinieerd in het beleid na de installatie van de updates van april 2018 tot en met oktober 2018, die in feite niet beschikbaar waren tot updates van november 2018 en december 2018 of nadat domeincontrollers met een inheems besturingssysteem in staat waren meer dan 14 tekens in het beleid te gebruiken, waardoor de tijd-/oorzakelijke koppeling tussen functie-enablement en beleidstoepassing werd verwijderd. Of u nu groepsbeleid en domeincontrollerupdates tegelijk hebt geïnstalleerd of niet, mogelijk ziet u de volgende bijwerkingen:
-
Blootgestelde problemen met toepassingen die momenteel niet compatibel zijn met wachtwoorden met meer dan 14 tekens.
-
Blootgestelde problemen wanneer domeinen die bestaan uit een combinatie van de releaseversie van Windows Server 2019 of bijgewerkte 2016-dc's die meer dan 14-tekens wachtwoorden en pre-Windows Server 2016-dc's ondersteunen die geen ondersteuning bieden voor wachtwoorden met meer dan 14 tekens (totdat backports bestaan en zijn geïnstalleerd voor Windows Server 2016).
-
Na de installatie van KB4467684kan de clusterservice mogelijk niet beginnen met de fout '2245 (NERR_PasswordTooShort)' als het groepsbeleid 'Minimale wachtwoordlengte' is geconfigureerd met meer dan 14 tekens.
De richtlijnen voor dit bekende probleem waren het instellen van het domein standaardbeleid 'Minimale wachtwoordlengte' op minder dan of gelijk aan 14 tekens. We werken aan een oplossing en komen met een update in een toekomstige release.
Vanwege de eerdere problemen is de dc-ondersteuning voor wachtwoorden met meer dan 14 tekens verwijderd in de updates van januari 2019, zodat de functie niet kan worden gebruikt.