Zhrnutie
Windows 10 aktualizáciami vydaná 18. augusta 2020 pridáva podporu pre:
-
Audit udalostí a zistenie, či aplikácie a služby podporujú 15-znakové alebo dlhšie heslá.
-
Vynútenie minimálnej dĺžky hesla minimálne 15 znakov v prípade Windows Server, radičov domén (DCs) verzie 2004.
Podporované verzie Windows
Auditovanie dĺžky hesiel je podporované v nasledujúcich verziách balíka Windows. Presadzovanie minimálnej dĺžky hesla 15 alebo viac znakov je podporovaná vo Windows Serveri, verzii 2004 a novších verziách Windows.
Verzia Windowsu |
KB |
Podpora |
Windows 10, verzia 2004 Windows Server, verzia 2004 |
Súčasťou vydanej verzie |
Presadzovanie Auditovanie |
Windows 10, verzia 1909 Windows Server, verzia 1909 |
Auditovanie |
|
Windows 10, verzia 1903 Windows Server, verzia 1903 |
Auditovanie |
|
Windows 10, verzia 1809 Windows Server verzie 1809 Windows Server 2019 |
Auditovanie |
|
Windows 10, verzia 1607 Windows Server 2016 |
Auditovanie |
Navrhované nasadenie
Radiče domén |
Administratívne pracovné stanice |
|
Auditovanie: Ak sa audituje iba používanie hesla pod minimálnou hodnotou, nasaďte ho nasledujúcim spôsobom. |
Nasadiť aktualizácie do všetkých podporovaných DCs, kde sa má auditovať. |
Nasaďte aktualizácie podporovaných administratívnych pracovných stanicech pre nové nastavenia skupinovej politiky. Pomocou týchto pracovných stanice môžete nasadiť aktualizované skupinové politiky. |
Presadzovanie: Ak sa chcete vynútiť minimálne množstvo hesiel, nasadenie vykonajte nasledovne. |
Windows Server, verzia 2004 DCs. Všetky DCs musia mať túto alebo novšiu verziu. Nie sú potrebné žiadne ďalšie aktualizácie. |
Použite Windows 10, verzia 2004. Táto verzia obsahuje nové nastavenia skupinovej politiky na presadzovanie. Pomocou týchto pracovných stanice môžete nasadiť aktualizované skupinové politiky. |
Pokyny na nasadenie
Ak chcete pridať podporu pre auditovanie a presadzovanie minimálnej dĺžky hesla, postupujte takto:
-
Nasadiť aktualizáciu vo všetkých podporovaných Windows všetkých radičoch domén.
-
Radič domény: Aktualizácie a novšie aktualizácie povoľte podporu vo všetkých DCs na overenie používateľských kont alebo kont služieb, ktoré sú nakonfigurované na používanie viac než 14-znakových hesiel.
-
Administratívna pracovná stanice: Nasaďte aktualizácie do administratívnych pracovných stanicech, aby ste mohli používať nové nastavenia skupinovej politiky v pracovných stanicech.
-
-
Povoľte nastavenie skupinovej politiky MinimumPasswordLengthAudit v doméne alebo doménovej štruktúre, v ktorej sa vyžadujú dlhšie požadované heslá. Toto nastavenie politiky by malo byť povolené v predvolenej politike radiča domény, ktorá je prepojená s organizačnou jednotkou radičov domén (OU).
-
Odporúčame ponechať politiku auditovania povolenú na tri až šesť mesiacov, aby sa zistil všetok softvér, ktorý nepodporuje heslá väčšie ako 14 znakov.
-
Monitorujte domény pre udalosti v službách Directory-Services-SAM 16978 zaznamenané v softvéri, v ktorých sa spravujú heslá počas troch až šiestich mesiacov. Nie je potrebné monitorovať udalosti Directory-Services-SAM 16978 zaznamenané v používateľských kontách.
-
Ak je to možné, nakonfigurujte softvér tak, aby používal dlhšie heslo.
-
Ak chcete, aby sa v softvéri používali dlhšie heslá, pracujte s dodávateľom softvéru.
-
Pre toto konto je možné nasadiť premnožnú politiku hesiel pomocou hodnoty, ktorá zodpovedá dĺžke hesiel, ktorú softvér používa.
-
V prípade softvéru, ktorý spravuje heslá kont, no nepoužíva dlhé heslá automaticky, a nie je možné ich nakonfigurovať na používanie dlhých hesiel, je pre tieto kontá možné použiť aj premýšnuci politiku hesiel.
-
-
Po vyriešení všetkých udalostí v directory-services-SAM 16978 povoľte minimálne heslo. Ak to chcete urobiť, postupujte podľa týchto krokov:
-
Nasadiť verziu Windows Servera, ktorá podporuje presadzovanie vo všetkých DCs (vrátane Read-Only DCs).
-
Povoľte skupinovú politiku RelaxMinimumPasswordLengthLimits vo všetkých DCs.
-
Nakonfigurujte skupinovú politiku MinimumPasswordLength vo všetkých DCs.
-
Skupinová politika
Cesta k politike a nastavenie názvu, podporované verzie |
Opis |
Cesta k politike: Konfigurácia počítača > Windows Nastavenia > politiky Nastavenia > kont – > heslo – > Názov nastavenia nastavenia minimálnej dĺžky hesla: MinimumPasswordLengthAuditPodporované na:
Reštartovanie nie je potrebné |
Minimálne pre audit dĺžky hesla Toto nastavenie zabezpečenia určuje minimálnu dĺžku hesla, pre ktorú sa vydávajú udalosti s upozornením na dĺžku hesla. Toto nastavenie môže byť nakonfigurované od 1 do 128. Toto nastavenie by ste mali povoliť a konfigurovať iba vtedy, keď sa pokúšate určiť potenciálny účinok zvýšenia nastavenia minimálnej dĺžky hesla vo svojom prostredí. Ak toto nastavenie nie je definované, udalosti auditu sa nevydá. Ak je toto nastavenie definované a je menšie alebo rovnaké ako minimálne nastavenie dĺžky hesla, udalosti auditu sa nevydajú. Ak je toto nastavenie definované a je väčšie ako minimálne nastavenie dĺžky hesla a dĺžka hesla nového konta je menšia ako toto nastavenie, udalosť auditu sa vydá. |
Cesta k politike a nastavenie názvu, podporované verzie |
Opis |
Cesta k politike: Obmedzenia > Windows Nastavenia > na konfiguráciu počítača Nastavenia > politiky zabezpečenia a konta – > heslo – > Obmedzenie minimálnej dĺžky hesla Názov nastavenia: RelaxMinimumPasswordLengthLimitsPodporované na:
Reštartovanie nie je potrebné |
Odýchľte minimálnu dĺžku hesla, staršie obmedzenia Toto nastavenie určuje, či je možné zvýšiť minimálnu dĺžku hesla nad rámec staršieho limitu 14. Ak toto nastavenie nie je definované, minimálna dĺžka hesla môže byť nakonfigurovaná na najviac 14 znakov. Ak je toto nastavenie definované a vypnuté, minimálna dĺžka hesla môže byť nakonfigurovaná najviac na 14. Ak je toto nastavenie definované a povolené, minimálna dĺžka hesla môže byť nakonfigurovaná viac ako 14. Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191. |
Cesta k politike a nastavenie názvu, podporované verzie |
Opis |
Cesta k politike: Politika > Windows Nastavenia > zabezpečenia Nastavenia > počítača – > heslo – > Minimálna dĺžka hesla Názov nastavenia: MinimumPasswordLengthPodporované na:
Reštartovanie nie je potrebné |
Toto nastavenie zabezpečenia určuje najmenší počet znakov, ktoré môže heslo pre používateľské konto obsahovať. Maximálna hodnota tohto nastavenia závisí od hodnoty nastavenia Obmedzenia minimálnej dĺžky hesla. Ak nie je definované nastavenie Minimálna dĺžka hesla, toto nastavenie môže byť nakonfigurované od 0 do 14. Ak je definované a vypnuté nastavenie Minimálna dĺžka hesla, toto nastavenie môže byť nakonfigurované od 0 do 14. Ak je zadefinované a povolené nastavenie Minimálna dĺžka hesla, toto nastavenie môže byť nakonfigurované od 0 do 128. Ak sa požadovaný počet znakov nastavuje na 0, znamená to, že sa nevyžaduje heslo. Poznámka Počítače s členmi predvolene postupujú podľa konfigurácie ovládačov domény. Predvolené hodnoty:
Konfigurácia tohto nastavenia väčších ako 14 môže ovplyvniť kompatibilitu s klientmi, službami a aplikáciami. Odporúčame, aby ste toto nastavenie nakonfigurujte väčšie ako 14, len ak použijete nastavenie Minimálna dĺžka hesla na testovanie potenciálnych nekompatibilít v novom nastavení. |
Windows denníkov udalostí
Súčasťou tejto pridanej podpory sú tri nové správy denníka identifikácie udalosti.
Identifikácia udalosti 16977
Udalosť ID 16977 sa zapíše do denníka, keď sú nastavenia politiky MinimumPassWordLength, RelaxMinimumPasswordLengthLimitsalebo MinimumPasswordLengthAudit nakonfigurované alebo upravené v skupinovej politike. Táto udalosť sa zaznamená len v DCs. Hodnota RelaxMinimumPasswordLengthLimits sa do denníka zapíše len Windows Server, verzia 2004 a novšia verzia DCs.
Denník udalostí |
Systém |
Zdroj udalosti |
Directory-Services-SAM |
Identifikačné číslo udalosti |
16977 |
Úroveň |
Informácie |
Text správy udalosti |
Doména je nakonfigurovaná pomocou nasledujúcich minimálnych nastavení dĺžky hesla. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191. |
Identifikácia udalosti 16978
Po zmene hesla konta sa zapíše do denníka identifikácia udalosti 16978 a heslo je kratšie ako aktuálne nastavenie MinimumPasswordLengthAudit.
Denník udalostí |
Systém |
Zdroj udalosti |
Directory-Services-SAM |
Identifikačné číslo udalosti |
16978 |
Úroveň |
Informácie |
Text správy udalosti |
Nasledujúce konto je nakonfigurované na používanie hesla, ktorého dĺžka je kratšia ako aktuálne nastavenie MinimumPasswordLengthAudit. AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191. |
Presadzovanie identifikátora udalosti 16979
Keď sú nastavenia skupinovej politiky auditovania nesprávne nakonfigurované, do denníka sa zapíše identifikácia udalosti 16979. Táto udalosť sa zaznamená len v DCs. Hodnota RelaxMinimumPasswordLengthLimits sa do denníka zapíše len Windows Server, verzia 2004 a novšia verzia DCs. Toto sa vynásoní.
Denník udalostí |
Systém |
Zdroj udalosti |
Directory-Services-SAM |
Identifikačné číslo udalosti |
16979 |
Úroveň |
Chyba |
Text správy udalosti |
Doména je nesprávne nakonfigurovaná s nastavením MinimumPasswordLength, ktoré je väčšie ako 14, zatiaľ čo Možnosť RelaxMinimumPasswordLengthLimits je buď nedefinovaná, alebo vypnutá. Poznámka Kým sa opraví, doména vynúti menšie nastavenie MinimumPasswordLength na 14. Aktuálne nakonfigurovaná hodnota MinimumPasswordLength:Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191. |
Auditovanie v udalosti ID 16979
Keď sú nastavenia skupinovej politiky auditovania nesprávne nakonfigurované, do denníka sa zapíše identifikácia udalosti 16979. Táto udalosť sa zaznamená len v DCs. Súčasťou tejto pridanej podpory je nová správa denníka udalostí pre Auditovanie.
Denník udalostí |
Systém |
Zdroj udalosti |
Directory-Services-SAM |
Identifikačné číslo udalosti |
16979 |
Úroveň |
Chyba |
Text správy udalosti |
Doména je nesprávne nakonfigurovaná s nastavením MinimumPasswordLength, ktoré je väčšie ako 14. Poznámka Kým sa opraví, doména vynúti menšie nastavenie MinimumPasswordLength na 14. Aktuálne nakonfigurovaná hodnota MinimumPasswordLength: Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191. |
Pokyny na zmenu softvérových hesiel
Pri nastavovaní hesla v softvéri používajte maximálnu dĺžku hesla.
História
Napriek tomu, že celková stratégia zabezpečenia spoločnosti Microsoft je pevne zameraná na budúce heslo, mnohí zákazníci nemôžu migrovať heslá z hľadiska krátkeho až stredne stredného hľadiska. Niektorí zákazníci s o úroveň zabezpečenia si chcú byť schopní nakonfigurovať nastavenie predvolenej minimálnej dĺžky hesla domény, ktoré je väčšie ako 14 znakov (môžu to urobiť napríklad zákazníci, keď poučia používateľov, aby namiesto tradičných krátkych hesiel s jedným tokenom mali k dispozícii dlhšie prístupové frázy). Na podporu tejto žiadosti aktualizácie Windows z apríla 2018 pre Windows Server 2016 povolili zmenu skupinovej politiky, ktorá zvýšila minimálnu dĺžku hesla z 14 na 20 znakov. Hoci sa táto zmena javí ako podpora pre dlhšie heslo, po použití skupinovej politiky bola nakoniec nepostačujúá a odmietnutá. Tieto odmietnutia neboli zadané a vyžadovali podrobné testovanie na zistenie, že systém neponúkal dlhšie heslá. Aktualizácia následných krokov na vrstvu SAM (Security Account Manager) bola zahrnutá pre Windows Server 2016 aj Windows Server 2019, aby mal systém minimálnu dĺžku hesla väčšiu ako 14 znakov. Aktualizácia následných krokov na vrstvu SAM (Security Account Manager) bola zahrnutá pre Windows Server 2016 aj Windows Server 2019, aby mal systém minimálnu dĺžku hesla väčšiu ako 14 znakov.
Nastavenie politiky MinimumPasswordLength má povolený rozsah od 0 do 14 na veľmi dlhý čas (mnoho desať rokov) na všetkých platformách Microsoft. Toto nastavenie sa vzťahuje na lokálne Windows zabezpečenia aj na domény služby Active Directory (a NT4). Hodnota nula (0) znamená, že pre žiadne konto sa nevyžaduje heslo.
V starších verziách Windows používateľské rozhranie skupinovej politiky nepovoľuje nastavenie minimálnej požadovanej dĺžky hesla dlhšie ako 14 znakov. V apríli 2018 sme však vydali aktualizácie balíka Windows 10, ktoré v používateľskom rozhraní skupinovej politiky pridali podporu pre viac ako 14 znakov v rámci aktualizácií, ako sú napríklad:
-
Článok vedomostnej databázy Knowledge Base 4093120:17. apríla 2018 – KB4093120 (zostava OS 14393.2214)
Súčasťou tejto aktualizácie bol aj nasledujúci text poznámky k vydaniu:
"Zvýši minimálnu dĺžku hesla v skupinovej politike na 20 znakov."
Niektorí zákazníci, ktorí si nainštalovali vydania z apríla 2018 a nahrádzali aktualizácie, zistili, že stále nemôžu používať viac ako 14-znakové heslá. Prieskum identifikoval, že v počítačoch s rolou DC je potrebné nainštalovať ďalšie aktualizácie, ktoré budú údržby pre viac ako 14-znakové heslá definované v politike hesiel. Nasledujúce aktualizácie povolili Windows Server 2016, Windows 10, verziu 1607 a počiatočné vydanie ovládačov domény pre prihlasovanie do služieb Windows 10 požiadavky na overovanie s viac ako 14-znakovým heslom:
-
Článok vedomostnej databázy Knowledge Base 4467684:27. novembra 2018 – KB4467684 (zostava OS 14393.2639)
Súčasťou tejto aktualizácie bol aj nasledujúci text poznámky k vydaniu:
"Rieši problém, ktorý bráni radičom domén používať politiku skupinovej politiky hesiel, keď je minimálna dĺžka hesla nakonfigurovaná tak, aby bola väčšia ako 14 znakov."
-
ČLÁNOK VEDOMOSTNEJ DATABÁZY KNOWLEDGE BASE 4471327:11. december 2018 – KB4471321 (zostava OS 14393.2665)
Niektorí zákazníci definovali v politike viac ako 14-znakové heslá po inštalácii aktualizácií z apríla 2018 do aktualizácií z októbra 2018, ktoré v podstate ostali neaktívne až do aktualizácií z novembra 2018 a decembra 2018 alebo do natívnych ovládačov domén s podporou operačného systému, aby v politike obsiazali viac ako 14-znakové heslá, čím sa odstráni prepojenie medzi zapnutím funkcií a aplikáciou politiky. Bez ohľadu na to, či ste súčasne nainštalovali aktualizácie skupinovej politiky a radiča domény, môžu sa zobraziť nasledujúce vedľajšie efekty:
-
Vyriešené problémy s aplikáciami, ktoré sú momentálne nekompatibilné s heslami väčšími ako 14 znakov.
-
Problémy so odhalením, keď domény pozostávajú z kombinácie verzie Windows Servera 2019 alebo aktualizovaných 2016 DCs, ktoré podporujú viac ako 14-znakové heslá, a viac než Windows Server 2016, ktoré podporujú viac než 14-znakové heslá (kým nebudú k dispozícii porty portov portov Windows Server 2016).
-
Po inštalácii aktualizácie KB4467684môže zlyhať spustenie skupinovej služby s chybou 2245 (NERR_PasswordTooShort), ak je skupinová politika Minimálna dĺžka hesla nakonfigurovaná tak, aby bola väčšia ako 14 znakov.
Pokyny k tomuto známemu problému boli pri nastavení predvolenej politiky "Minimálna dĺžka hesla" na hodnotu menšiu alebo rovnú 14 znakom. Pracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.
Z dôvodu starších problémov bola v aktualizáciách na január 2019 odstránená podpora pre strany DC pre viac ako 14 znakov, takže túto funkciu nie je možné použiť.