Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Zhrnutie

Windows 10 aktualizáciami vydaná 18. augusta 2020 pridáva podporu pre:

  • Audit udalostí a zistenie, či aplikácie a služby podporujú 15-znakové alebo dlhšie heslá.

  • Vynútenie minimálnej dĺžky hesla minimálne 15 znakov v prípade Windows Server, radičov domén (DCs) verzie 2004.

Podporované verzie Windows

Auditovanie dĺžky hesiel je podporované v nasledujúcich verziách balíka Windows. Presadzovanie minimálnej dĺžky hesla 15 alebo viac znakov je podporovaná vo Windows Serveri, verzii 2004 a novších verziách Windows.

Verzia Windowsu

KB

Podpora

Windows 10, verzia 2004 Windows Server, verzia 2004

Súčasťou vydanej verzie

Presadzovanie Auditovanie

Windows 10, verzia 1909 Windows Server, verzia 1909

KB4566116

Auditovanie

Windows 10, verzia 1903 Windows Server, verzia 1903

KB4566116

Auditovanie

Windows 10, verzia 1809 Windows Server verzie 1809 Windows Server 2019

KB4571748

Auditovanie

Windows 10, verzia 1607 Windows Server 2016

KB4601318

Auditovanie

Navrhované nasadenie

Radiče domén

Administratívne pracovné stanice

Auditovanie: Ak sa audituje iba používanie hesla pod minimálnou hodnotou, nasaďte ho nasledujúcim spôsobom.

Nasadiť aktualizácie do všetkých podporovaných DCs, kde sa má auditovať.

Nasaďte aktualizácie podporovaných administratívnych pracovných stanicech pre nové nastavenia skupinovej politiky. Pomocou týchto pracovných stanice môžete nasadiť aktualizované skupinové politiky.

Presadzovanie: Ak sa chcete vynútiť minimálne množstvo hesiel, nasadenie vykonajte nasledovne.

Windows Server, verzia 2004 DCs. Všetky DCs musia mať túto alebo novšiu verziu. Nie sú potrebné žiadne ďalšie aktualizácie.

Použite Windows 10, verzia 2004. Táto verzia obsahuje nové nastavenia skupinovej politiky na presadzovanie. Pomocou týchto pracovných stanice môžete nasadiť aktualizované skupinové politiky.

Pokyny na nasadenie

Ak chcete pridať podporu pre auditovanie a presadzovanie minimálnej dĺžky hesla, postupujte takto:

  1. Nasadiť aktualizáciu vo všetkých podporovaných Windows všetkých radičoch domén.

    1. Radič domény: Aktualizácie a novšie aktualizácie povoľte podporu vo všetkých DCs na overenie používateľských kont alebo kont služieb, ktoré sú nakonfigurované na používanie viac než 14-znakových hesiel.

    2. Administratívna pracovná stanice: Nasaďte aktualizácie do administratívnych pracovných stanicech, aby ste mohli používať nové nastavenia skupinovej politiky v pracovných stanicech.

  2. Povoľte nastavenie skupinovej politiky MinimumPasswordLengthAudit v doméne alebo doménovej štruktúre, v ktorej sa vyžadujú dlhšie požadované heslá. Toto nastavenie politiky by malo byť povolené v predvolenej politike radiča domény, ktorá je prepojená s organizačnou jednotkou radičov domén (OU).

  3. Odporúčame ponechať politiku auditovania povolenú na tri až šesť mesiacov, aby sa zistil všetok softvér, ktorý nepodporuje heslá väčšie ako 14 znakov.

  4. Monitorujte domény pre udalosti v službách Directory-Services-SAM 16978 zaznamenané v softvéri, v ktorých sa spravujú heslá počas troch až šiestich mesiacov. Nie je potrebné monitorovať udalosti Directory-Services-SAM 16978 zaznamenané v používateľských kontách.

    1. Ak je to možné, nakonfigurujte softvér tak, aby používal dlhšie heslo.

    2. Ak chcete, aby sa v softvéri používali dlhšie heslá, pracujte s dodávateľom softvéru.

    3. Pre toto konto je možné nasadiť premnožnú politiku hesiel pomocou hodnoty, ktorá zodpovedá dĺžke hesiel, ktorú softvér používa.

    4. V prípade softvéru, ktorý spravuje heslá kont, no nepoužíva dlhé heslá automaticky, a nie je možné ich nakonfigurovať na používanie dlhých hesiel, je pre tieto kontá možné použiť aj premýšnuci politiku hesiel.

  5. Po vyriešení všetkých udalostí v directory-services-SAM 16978 povoľte minimálne heslo. Ak to chcete urobiť, postupujte podľa týchto krokov:

    1. Nasadiť verziu Windows Servera, ktorá podporuje presadzovanie vo všetkých DCs (vrátane Read-Only DCs).

    2. Povoľte skupinovú politiku RelaxMinimumPasswordLengthLimits vo všetkých DCs.

    3. Nakonfigurujte skupinovú politiku MinimumPasswordLength vo všetkých DCs.

Skupinová politika

Cesta k politike a nastavenie názvu, podporované verzie

Opis

Cesta k politike: Konfigurácia počítača > Windows Nastavenia > politiky Nastavenia > kont – > heslo – > Názov nastavenia nastavenia minimálnej dĺžky hesla: MinimumPasswordLengthAudit

Podporované na:

  • Windows 10, verzia 1607

  • Windows Server 2016

  • Windows 10, verzia 1809

  • Windows Server, verzia 1809

  • Windows 10, verzia 1903

  • Windows Server, verzia 1903

  • Windows 10, verzia 1909

  • Windows Server, verzia 1909

  • Windows 10, verzia 2004

  • Windows Server, verzia 2004

  • a novšie verzie

Reštartovanie nie je potrebné

Minimálne pre audit dĺžky hesla

Toto nastavenie zabezpečenia určuje minimálnu dĺžku hesla, pre ktorú sa vydávajú udalosti s upozornením na dĺžku hesla. Toto nastavenie môže byť nakonfigurované od 1 do 128.

Toto nastavenie by ste mali povoliť a konfigurovať iba vtedy, keď sa pokúšate určiť potenciálny účinok zvýšenia nastavenia minimálnej dĺžky hesla vo svojom prostredí.

Ak toto nastavenie nie je definované, udalosti auditu sa nevydá.

Ak je toto nastavenie definované a je menšie alebo rovnaké ako minimálne nastavenie dĺžky hesla, udalosti auditu sa nevydajú.

Ak je toto nastavenie definované a je väčšie ako minimálne nastavenie dĺžky hesla a dĺžka hesla nového konta je menšia ako toto nastavenie, udalosť auditu sa vydá.

Cesta k politike a nastavenie názvu, podporované verzie

Opis

Cesta k politike: Obmedzenia > Windows Nastavenia > na konfiguráciu počítača Nastavenia > politiky zabezpečenia a konta – > heslo – > Obmedzenie minimálnej dĺžky hesla Názov nastavenia: RelaxMinimumPasswordLengthLimits

Podporované na:

  • Windows 10, verzia 2004

  • Windows Server, verzia 2004

  • a novšie verzie

Reštartovanie nie je potrebné

Odýchľte minimálnu dĺžku hesla, staršie obmedzenia

Toto nastavenie určuje, či je možné zvýšiť minimálnu dĺžku hesla nad rámec staršieho limitu 14.

Ak toto nastavenie nie je definované, minimálna dĺžka hesla môže byť nakonfigurovaná na najviac 14 znakov.

Ak je toto nastavenie definované a vypnuté, minimálna dĺžka hesla môže byť nakonfigurovaná najviac na 14.

Ak je toto nastavenie definované a povolené, minimálna dĺžka hesla môže byť nakonfigurovaná viac ako 14.

Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191.

Cesta k politike a nastavenie názvu, podporované verzie

Opis

Cesta k politike: Politika > Windows Nastavenia > zabezpečenia Nastavenia > počítača – > heslo – > Minimálna dĺžka hesla Názov nastavenia: MinimumPasswordLength

Podporované na:

  • Windows 10, verzia 2004

  • Windows Server, verzia 2004

  • a novšie verzie

Reštartovanie nie je potrebné

Toto nastavenie zabezpečenia určuje najmenší počet znakov, ktoré môže heslo pre používateľské konto obsahovať.

Maximálna hodnota tohto nastavenia závisí od hodnoty nastavenia Obmedzenia minimálnej dĺžky hesla.

Ak nie je definované nastavenie Minimálna dĺžka hesla, toto nastavenie môže byť nakonfigurované od 0 do 14.

Ak je definované a vypnuté nastavenie Minimálna dĺžka hesla, toto nastavenie môže byť nakonfigurované od 0 do 14.

Ak je zadefinované a povolené nastavenie Minimálna dĺžka hesla, toto nastavenie môže byť nakonfigurované od 0 do 128.

Ak sa požadovaný počet znakov nastavuje na 0, znamená to, že sa nevyžaduje heslo.

Poznámka Počítače s členmi predvolene postupujú podľa konfigurácie ovládačov domény.

Predvolené hodnoty:

  • 7 v ovládačoch domén

  • 0 na samostatných serveroch

Konfigurácia tohto nastavenia väčších ako 14 môže ovplyvniť kompatibilitu s klientmi, službami a aplikáciami. Odporúčame, aby ste toto nastavenie nakonfigurujte väčšie ako 14, len ak použijete nastavenie Minimálna dĺžka hesla na testovanie potenciálnych nekompatibilít v novom nastavení.

Windows denníkov udalostí

Súčasťou tejto pridanej podpory sú tri nové správy denníka identifikácie udalosti.

Identifikácia udalosti 16977

Udalosť ID 16977 sa zapíše do denníka, keď sú nastavenia politiky MinimumPassWordLength, RelaxMinimumPasswordLengthLimitsalebo MinimumPasswordLengthAudit nakonfigurované alebo upravené v skupinovej politike. Táto udalosť sa zaznamená len v DCs. Hodnota RelaxMinimumPasswordLengthLimits sa do denníka zapíše len Windows Server, verzia 2004 a novšia verzia DCs.

Denník udalostí

Systém

Zdroj udalosti

Directory-Services-SAM

Identifikačné číslo udalosti

16977

Úroveň

Informácie

Text správy udalosti

Doména je nakonfigurovaná pomocou nasledujúcich minimálnych nastavení dĺžky hesla.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191.

Identifikácia udalosti 16978

Po zmene hesla konta sa zapíše do denníka identifikácia udalosti 16978 a heslo je kratšie ako aktuálne nastavenie MinimumPasswordLengthAudit.

Denník udalostí

Systém

Zdroj udalosti

Directory-Services-SAM

Identifikačné číslo udalosti

16978

Úroveň

Informácie

Text správy udalosti

Nasledujúce konto je nakonfigurované na používanie hesla, ktorého dĺžka je kratšia ako aktuálne nastavenie MinimumPasswordLengthAudit.

AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:

Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191.

Presadzovanie identifikátora udalosti 16979

Keď sú nastavenia skupinovej politiky auditovania nesprávne nakonfigurované, do denníka sa zapíše identifikácia udalosti 16979. Táto udalosť sa zaznamená len v DCs. Hodnota RelaxMinimumPasswordLengthLimits sa do denníka zapíše len Windows Server, verzia 2004 a novšia verzia DCs. Toto sa vynásoní.

Denník udalostí

Systém

Zdroj udalosti

Directory-Services-SAM

Identifikačné číslo udalosti

16979

Úroveň

Chyba

Text správy udalosti

Doména je nesprávne nakonfigurovaná s nastavením MinimumPasswordLength, ktoré je väčšie ako 14, zatiaľ čo Možnosť RelaxMinimumPasswordLengthLimits je buď nedefinovaná, alebo vypnutá.

Poznámka Kým sa opraví, doména vynúti menšie nastavenie MinimumPasswordLength na 14.Aktuálne nakonfigurovaná hodnota MinimumPasswordLength:

Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191.

Auditovanie v udalosti ID 16979

Keď sú nastavenia skupinovej politiky auditovania nesprávne nakonfigurované, do denníka sa zapíše identifikácia udalosti 16979. Táto udalosť sa zaznamená len v DCs. Súčasťou tejto pridanej podpory je nová správa denníka udalostí pre Auditovanie.

Denník udalostí

Systém

Zdroj udalosti

Directory-Services-SAM

Identifikačné číslo udalosti

16979

Úroveň

Chyba

Text správy udalosti

Doména je nesprávne nakonfigurovaná s nastavením MinimumPasswordLength, ktoré je väčšie ako 14.

Poznámka Kým sa opraví, doména vynúti menšie nastavenie MinimumPasswordLength na 14.

Aktuálne nakonfigurovaná hodnota MinimumPasswordLength:

Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?LinkId=2097191.

Pokyny na zmenu softvérových hesiel

Pri nastavovaní hesla v softvéri používajte maximálnu dĺžku hesla.

História

Napriek tomu, že celková stratégia zabezpečenia spoločnosti Microsoft je pevne zameraná na budúce heslo, mnohí zákazníci nemôžu migrovať heslá z hľadiska krátkeho až stredne stredného hľadiska. Niektorí zákazníci s o úroveň zabezpečenia si chcú byť schopní nakonfigurovať nastavenie predvolenej minimálnej dĺžky hesla domény, ktoré je väčšie ako 14 znakov (môžu to urobiť napríklad zákazníci, keď poučia používateľov, aby namiesto tradičných krátkych hesiel s jedným tokenom mali k dispozícii dlhšie prístupové frázy). Na podporu tejto žiadosti aktualizácie Windows z apríla 2018 pre Windows Server 2016 povolili zmenu skupinovej politiky, ktorá zvýšila minimálnu dĺžku hesla z 14 na 20 znakov. Hoci sa táto zmena javí ako podpora pre dlhšie heslo, po použití skupinovej politiky bola nakoniec nepostačujúá a odmietnutá. Tieto odmietnutia neboli zadané a vyžadovali podrobné testovanie na zistenie, že systém neponúkal dlhšie heslá. Aktualizácia následných krokov na vrstvu SAM (Security Account Manager) bola zahrnutá pre Windows Server 2016 aj Windows Server 2019, aby mal systém minimálnu dĺžku hesla väčšiu ako 14 znakov. Aktualizácia následných krokov na vrstvu SAM (Security Account Manager) bola zahrnutá pre Windows Server 2016 aj Windows Server 2019, aby mal systém minimálnu dĺžku hesla väčšiu ako 14 znakov.

Nastavenie politiky MinimumPasswordLength má povolený rozsah od 0 do 14 na veľmi dlhý čas (mnoho desať rokov) na všetkých platformách Microsoft. Toto nastavenie sa vzťahuje na lokálne Windows zabezpečenia aj na domény služby Active Directory (a NT4). Hodnota nula (0) znamená, že pre žiadne konto sa nevyžaduje heslo.

V starších verziách Windows používateľské rozhranie skupinovej politiky nepovoľuje nastavenie minimálnej požadovanej dĺžky hesla dlhšie ako 14 znakov. V apríli 2018 sme však vydali aktualizácie balíka Windows 10, ktoré v používateľskom rozhraní skupinovej politiky pridali podporu pre viac ako 14 znakov v rámci aktualizácií, ako sú napríklad:

Súčasťou tejto aktualizácie bol aj nasledujúci text poznámky k vydaniu:

"Zvýši minimálnu dĺžku hesla v skupinovej politike na 20 znakov."

Niektorí zákazníci, ktorí si nainštalovali vydania z apríla 2018 a nahrádzali aktualizácie, zistili, že stále nemôžu používať viac ako 14-znakové heslá. Prieskum identifikoval, že v počítačoch s rolou DC je potrebné nainštalovať ďalšie aktualizácie, ktoré budú údržby pre viac ako 14-znakové heslá definované v politike hesiel. Nasledujúce aktualizácie povolili Windows Server 2016, Windows 10, verziu 1607 a počiatočné vydanie ovládačov domény pre prihlasovanie do služieb Windows 10 požiadavky na overovanie s viac ako 14-znakovým heslom:

Súčasťou tejto aktualizácie bol aj nasledujúci text poznámky k vydaniu:

"Rieši problém, ktorý bráni radičom domén používať politiku skupinovej politiky hesiel, keď je minimálna dĺžka hesla nakonfigurovaná tak, aby bola väčšia ako 14 znakov."

  • ČLÁNOK VEDOMOSTNEJ DATABÁZY KNOWLEDGE BASE 4471327:11. december 2018 – KB4471321 (zostava OS 14393.2665)

Niektorí zákazníci definovali v politike viac ako 14-znakové heslá po inštalácii aktualizácií z apríla 2018 do aktualizácií z októbra 2018, ktoré v podstate ostali neaktívne až do aktualizácií z novembra 2018 a decembra 2018 alebo do natívnych ovládačov domén s podporou operačného systému, aby v politike obsiazali viac ako 14-znakové heslá, čím sa odstráni prepojenie medzi zapnutím funkcií a aplikáciou politiky. Bez ohľadu na to, či ste súčasne nainštalovali aktualizácie skupinovej politiky a radiča domény, môžu sa zobraziť nasledujúce vedľajšie efekty:

  • Vyriešené problémy s aplikáciami, ktoré sú momentálne nekompatibilné s heslami väčšími ako 14 znakov.

  • Problémy so odhalením, keď domény pozostávajú z kombinácie verzie Windows Servera 2019 alebo aktualizovaných 2016 DCs, ktoré podporujú viac ako 14-znakové heslá, a viac než Windows Server 2016, ktoré podporujú viac než 14-znakové heslá (kým nebudú k dispozícii porty portov portov Windows Server 2016).

  • Po inštalácii aktualizácie KB4467684môže zlyhať spustenie skupinovej služby s chybou 2245 (NERR_PasswordTooShort), ak je skupinová politika Minimálna dĺžka hesla nakonfigurovaná tak, aby bola väčšia ako 14 znakov.

    Pokyny k tomuto známemu problému boli pri nastavení predvolenej politiky "Minimálna dĺžka hesla" na hodnotu menšiu alebo rovnú 14 znakom. Pracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.

Z dôvodu starších problémov bola v aktualizáciách na január 2019 odstránená podpora pre strany DC pre viac ako 14 znakov, takže túto funkciu nie je možné použiť.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.