Sammanfattning
Windows 10 uppdateringar som släpptes den 18 augusti 2020 lägger till stöd för följande:
-
Granska händelser för att identifiera om program och tjänster har stöd för lösenord på 15 tecken eller längre.
-
Tillämpning av den minsta lösenordslängden på minst 15 tecken på Windows Server, version 2004 domänkontrollanter.
Versioner av Windows
Granskning av lösenordslängder stöds i följande versioner av Windows. Tillämpning av den minsta lösenordslängden på minst 15 tecken stöds i Windows Server, version 2004 och i senare versioner av Windows.
Windows-version |
KB |
Support |
Windows 10, version 2004 Windows Server version 2004 |
Ingår i den släppta versionen |
Verkställande Granskning |
Windows 10, version 1909 Windows Server version 1909 |
Granskning |
|
Windows 10, version 1903 Windows Server version 1903 |
Granskning |
|
Windows 10 version 1809 Windows Serverversion 1809 Windows Server 2019 |
Granskning |
|
Windows 10 version 1607 Windows Server 2016 |
Granskning |
Föreslagen distribution
Domänkontrollanter |
Administrativa arbetsstationer |
|
Granskning: Om du bara behöver granska lösenordsanvändningen under ett minimivärde distribuerar du på följande sätt. |
Distribuera uppdateringar till alla DCs som stöds där granskning är önskad. |
Distribuera uppdateringar till administrativa arbetsstationer som stöds för nya grupprincipinställningar. Använd dessa arbetsstationer för att distribuera uppdaterade grupprinciper. |
Tillämpning: Om tillämpning av lösenord på minsta längd är önskat distribuerar du på följande sätt. |
Windows Server, version 2004 DCs. Alla datorer måste använda den här versionen eller en senare version. Inga ytterligare uppdateringar krävs. |
Använd Windows 10, version 2004. De nya grupprincipinställningarna för tillämpning ingår i den här versionen. Använd dessa arbetsstationer för att distribuera uppdaterade grupprinciper. |
Riktlinjer för distribution
Följ de här stegen om du vill lägga till stöd för granskning och tillämpning av lösenordslängd:
-
Distribuera uppdateringen för alla versioner Windows som stöds på alla domänkontrollanter.
-
Domänkontrollant: Uppdateringarna, och senare uppdateringar, ger stöd på alla datorer för att autentisera användar- eller tjänstkonton som är konfigurerade att använda fler än 14 tecken.
-
Administrativ arbetsstation: Distribuera uppdateringarna till administrativa arbetsstationer för att tillåta användning av de nya grupprincipinställningarna på datorer.
-
-
Aktivera grupprincipinställningen MinimumPasswordLengthAudit för en domän eller skog där du behöver längre lösenord. Den här principinställningen ska vara aktiverad i standardprincipen för domänkontrollanten som är kopplad till domänkontrollantens organisationsenhet (OU).
-
Vi rekommenderar att granskningsprincipen är aktiverad i tre till sex månader för att identifiera all programvara som inte stöder lösenord med fler än 14 tecken.
-
Övervaka domäner för Directory-Services-SAM 16978-händelser som loggats mot programvara som hanterat lösenord i tre till sex månader. Du behöver inte övervaka Directory-Services-SAM 16978-händelser som loggas mot användarkonton.
-
Om det är möjligt konfigurerar du programvaran att använda en längre lösenordslängd.
-
Arbeta med programvaruleverantören för att uppdatera programvaran så att den använder längre lösenord.
-
Distribuera en mer ingående lösenordsprincip för det här kontot genom att använda ett värde som matchar lösenordslängden som används av programvaran.
-
För program som hanterar kontolösenord, men som inte automatiskt använder långa lösenord och inte kan konfigureras för att använda långa lösenord, kan en mer princip för lösenord användas för dessa konton.
-
-
När alla Directory-Services-SAM 16978-händelser har åtgärdats måste du aktivera ett lösenord. Gör så här:
-
Distribuera en version av Windows server som har stöd för tillämpning på alla datorer (inklusive Read-Only-datorer).
-
Aktivera grupprincipen RelaxMinimumPasswordLengthLimits på alla pc-datorer.
-
Konfigurera grupprincipen MinimumPasswordLength på alla DCs.
-
Grupprincip
Principsökväg och inställningsnamn, versioner som stöds |
Beskrivning |
Principsökväg: Computer Configuration > Windows Inställningar > Security Inställningar > Account Policies -> Password Policy -> Minimum password length Audit Setting name: MinimumPasswordLengthAuditStöds:
Ingen omstart krävs |
Minsta granskning av lösenordslängd Den här säkerhetsinställningen bestämmer den minsta längden för lösenordslängd för granskningsvarningar för lösenordslängd som utfärdas. Den här inställningen kan konfigureras från 1 till 128. Du bör bara aktivera och konfigurera den här inställningen när du försöker ta reda på den potentiella effekten av att öka den minsta lösenordslängdsinställningen i din miljö. Om den här inställningen inte är definierad kommer granskningshändelser inte att utfärdas. Om den här inställningen är definierad och är mindre än eller lika med den minsta inställningen för lösenordslängd utfärdas inte granskningshändelser. Om den här inställningen är definierad och är större än den lägsta inställningen för lösenordslängd och längden på ett nytt kontolösenord är mindre än den här inställningen kommer en granskningshändelse att utfärdas. |
Principsökväg och inställningsnamn, versioner som stöds |
Beskrivning |
Principsökväg: Datorkonfiguration > Windows Inställningar > säkerhetsinställningar Inställningar > kontoprinciper -> lösenordsprincip -> Slappna av begränsningar för lösenordslängd Inställningsnamn: RelaxMinimumPasswordLengthLimitsStöds:
Ingen omstart krävs |
Slappna av äldre begränsningar för lösenordslängd Den här inställningen styr om den minsta inställningen för lösenordslängd kan höjas utöver den äldre gränsen på 14. Om den här inställningen inte är definierad kan den minsta lösenordslängden konfigureras till högst 14. Om den här inställningen är definierad och inaktiverad kan den minsta lösenordslängden konfigureras till högst 14. Om den här inställningen är definierad och aktiverad kan den minsta lösenordslängden konfigureras mer än 14. Mer information finns i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Principsökväg och inställningsnamn, versioner som stöds |
Beskrivning |
Principsökväg: Datorkonfiguration > Windows Inställningar > säkerhetsinställningar Inställningar > kontoprinciper -> lösenordsprincip -> minsta lösenordslängd Inställningsnamn: MinimumPasswordLengthStöds:
Ingen omstart krävs |
Den här säkerhetsinställningen bestämmer det minsta antalet tecken som ett lösenord för ett användarkonto kan innehålla. Det högsta värdet för den här inställningen beror på värdet i inställningen För att slappna av lösenordslängd. Om inställningen För att slappna av för långa lösenord inte har definierats kan inställningen konfigureras från 0 till 14. Om inställningen För att slappna av för långa lösenord är definierad och inaktiverad kan den här inställningen konfigureras från 0 till 14. Om inställningen För att slappna av för långa lösenord är definierad och aktiverad kan den här inställningen konfigureras från 0 till 128. Om önskat antal tecken anges till 0 krävs inget lösenord. Obs! Som standard använder medlemsdatorerna konfigurationen av domänkontrollanterna. Standardvärden:
Om du konfigurerar den här inställningen större än 14 kan det påverka kompatibiliteten med klienter, tjänster och program. Vi rekommenderar att du bara konfigurerar den här inställningen större än 14 efter att du har använder inställningen Minsta lösenordslängd för granskning för att testa om det finns potentiella inkompatibilitetar med den nya inställningen. |
Windows-händelseloggmeddelanden
Tre nya loggmeddelanden för händelse-ID ingår som en del av det tillagda stödet.
Händelse-ID 16977
Händelse-ID 16977 loggas när MinimumPasswordLength, RelaxMinimumPasswordLengthLimitseller MinimumPasswordLengthGranskningsprincipinställningar konfigureras eller ändras först i Grupprincip. Händelsen loggas bara på pc-datorer. Värdet RelaxMinimumPasswordLengthLimits loggas bara Windows Server, Version 2004 och senare version.
Händelselogg |
System |
Händelsekälla |
Directory-Services-SAM |
Händelse-ID |
16977 |
Nivå |
Information |
Text i händelsemeddelande |
Domänen konfigureras med hjälp av följande inställningar för lösenordslängd. MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:Mer information finns i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Händelse-ID 16978
Händelse-ID 16978 loggas när ett kontolösenord ändras och lösenordet är kortare än den aktuella inställningen för MinimumPasswordLengthAudit.
Händelselogg |
System |
Händelsekälla |
Directory-Services-SAM |
Händelse-ID |
16978 |
Nivå |
Information |
Text i händelsemeddelande |
Följande konto är konfigurerat för att använda ett lösenord vars längd är kortare än den aktuella inställningen för MinimumPasswordLengthAudit. AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:Mer information finns i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Händelse-ID 16979 tillämpning
Händelse-ID 16979 loggas när grupprincipinställningarna för granskning är felkonfigurerade. Händelsen loggas bara på pc-datorer. Värdet RelaxMinimumPasswordLengthLimits loggas bara i version 2004, version 2004 eller Windows server. Det här är för att förse enforcment.
Händelselogg |
System |
Händelsekälla |
Directory-Services-SAM |
Händelse-ID |
16979 |
Nivå |
Fel |
Text i händelsemeddelande |
Domänen är felaktigt konfigurerad med en MinimumPasswordLength-inställning som är större än 14 medan RelaxMinimumPasswordLengthLimits är antingen odefinierat eller inaktiverat. Obs! Tills detta korrigeras tillämpar domänen en mindre MinimumPasswordLength-inställning på 14. Det aktuella konfigurerade värdet MinimumPasswordLength:Mer information finns i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Händelse-ID 16979 Granskning
Händelse-ID 16979 loggas när grupprincipinställningarna för granskning är felkonfigurerade. Händelsen loggas bara på pc-datorer. Ett nytt meddelande i händelseloggen ingår för granskning som en del av det tillagda stödet.
Händelselogg |
System |
Händelsekälla |
Directory-Services-SAM |
Händelse-ID |
16979 |
Nivå |
Fel |
Text i händelsemeddelande |
Domänen är felaktigt konfigurerad med en MinimumPasswordLength-inställning som är större än 14. Obs! Tills detta korrigeras tillämpar domänen en mindre MinimumPasswordLength-inställning på 14. Det aktuella konfigurerade värdet MinimumPasswordLength: Mer information finns i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Vägledning för ändring av programvarulösenord
Använd den maximala lösenordslängden när du anger ett lösenord i programvara.
Historik
Även om Microsofts övergripande säkerhetsstrategi är fast fokuserad på ett lösenord som inte ger färre framtida lösenord kan många kunder inte migrera bort från lösenord på kort till medellångt sätt. Vissa säkerhetskunder vill kunna konfigurera en inställning med en minsta lösenordslängd på standarddomänen som är längre än 14 tecken (kunder kan till exempel göra det när de säger att deras användare måste använda längre lösenord istället för vanliga, korta lösenord för enstaka token). Som ett stöd för den här begäran aktiverade Windows-uppdateringar i april 2018 för Windows Server 2016 en grupprincipändring som ökade den minsta lösenordslängden från 14 till 20 tecken. Även om den här ändringen såg ut att stödja längre lösenord var den i slutänden otillräcklig och avvisade det nya värdet när grupprincipen tillämpades. Dessa avslag var tyst och krävde detaljerad testning för att fastställa att systemet inte stöder längre lösenord. En uppföljningsuppdatering av sam-lagret (Security Account Manager) ingick i både Windows Server 2016 och Windows Server 2019 för att systemet ska kunna fungera korrekt från end-to-end med en minsta lösenordslängd som är längre än 14 tecken. En uppföljningsuppdatering av sam-lagret (Security Account Manager) ingick i både Windows Server 2016 och Windows Server 2019 för att systemet ska kunna fungera korrekt från end-to-end med en minsta lösenordslängd som är längre än 14 tecken.
Principinställningen MinimumPasswordLength har ett tillåtet intervall mellan 0 och 14 under en mycket lång tid (flera månader) på alla Microsoft-plattformar. Den här inställningen gäller för både lokala Windows säkerhetsinställningar och Active Directory (och NT4-domäner före det). Värdet noll (0) innebär att inget lösenord krävs för något konto.
I tidigare versioner Windows grupprincipgränssnittet inte möjligt att ange en minsta lösenordslängd som är längre än 14 tecken. I april 2018 släppte vi emellertid de Windows 10-uppdateringar som lade till stöd för fler än 14 tecken i användargränssnittet för grupprinciper som en del av uppdateringar som:
-
KB 4093120: 17 april 2018 – KB4093120 (OS-version 14393.2214)
Den här uppdateringen inkluderade följande version:
"Ökar lösenordslängden i grupprincipen till 20 tecken."
Vissa kunder som installerade versionerna för april 2018 och ersatt uppdateringar upptäckte att de fortfarande inte kunde använda fler än 14 tecken stora lösenord. Undersökning har identifierat att ytterligare uppdateringar måste installeras på DC-rolldatorer med fler än 14 tecken som definierats i lösenordsprincipen. Följande uppdateringar aktiverade Windows Server 2016, Windows 10, version 1607 och den första versionen av Windows 10-domänkontrollanter för tjänstinloggningar och autentiseringsbegäranden med fler än 14 tecken stora lösenord:
-
KB 4467684: 27 november 2018 – KB4467684 (OS-version 14393.2639)
Den här uppdateringen inkluderade följande version:
"Åtgärdar ett problem som förhindrar domänkontrollanter från att använda lösenordsprincipen för grupprinciper när den minsta lösenordslängden har konfigurerats till mer än 14 tecken."
-
KB 4471327: 11 december 2018 – KB4471321 (OS-version 14393.2665)
Vissa kunder har definierat lösenord med mer än 14 tecken i principen efter installation av uppdateringarna för april 2018 till oktober 2018, som i princip var inaktiva fram till november 2018 och december 2018, eller så kunde en intern OS-aktiverad domänkontrollant ha mer än 14 tecken stora lösenord i principen, vilket tog bort länken tid/orsak mellan funktionsaktivering och principprogram. Oavsett om du har installerat grupprinciper och domänkontrollantuppdateringar samtidigt eller inte kan du se följande sidoeffekter:
-
Exponerade problem med program som för närvarande inte är kompatibla med lösenord som är längre än 14 tecken.
-
Problem som exponeras när domäner som består av en blandning av versionsversionen av Windows Server 2019 eller uppdaterade 2016-datorer som har stöd för fler än 14 tecken och tidigare Windows Server 2016-datorer som inte har stöd för fler än 14 teckens lösenord (tills det finns backporter som är installerade för Windows Server 2016).
-
När du har installerat KB4467684kanske klustertjänsten inte startar med felet "2245 (NERR_PasswordTooShort)" om grupprincipen "Minsta lösenordslängd" är konfigurerad med fler än 14 tecken.
Vägledningen för det här kända problemet var att ange principen för minsta lösenordslängd för domänen till mindre än eller lika med 14 tecken. Vi arbetar med en lösning och kommer att tillhandahålla en uppdatering i en kommande version.
På grund av de tidigare problemen togs stöd för fler än 14 teckens lösenord bort av DC-sidan i uppdateringarna för januari 2019, så att funktionen inte kan användas.