Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

Tóm tắt

Windows 10 phát hành ngày 18 tháng 8 năm 2020 bổ sung hỗ trợ cho các phần sau:

  • Audit Events to identify whether applications and services support 15-character or longer passwords.

  • Việc thực thi độ dài mật khẩu tối thiểu từ 15 ký tự trở lên trên Windows Chạy hệ điều khiển miền (DC) phiên bản 2004 trên Máy chủ, phiên bản 2004.

Các phiên bản được hỗ trợ của Windows

Việc kiểm tra độ dài mật khẩu được hỗ trợ trên các phiên bản sau của Windows. Việc thực thi độ dài mật khẩu tối thiểu từ 15 ký tự trở lên được hỗ trợ trong Windows Server, phiên bản 2004 và trong các phiên bản mới hơn của Windows.

Phiên bản Windows

KB

Hỗ trợ

Windows 10, phiên bản 2004 Windows Server phiên bản 2004

Được tích hợp trong phiên bản phát hành

Thực thi Kiểm tra

Windows 10, phiên bản 1909 Windows Server phiên bản 1909

KB4566116

Kiểm tra

Windows 10, phiên bản 1903 Windows Server phiên bản 1903

KB4566116

Kiểm tra

Windows 10, phiên bản 1809 Windows Server phiên bản 1809 Windows Server 2019

KB4571748

Kiểm tra

Windows 10, phiên bản 1607 Windows Server 2016

KB4601318

Kiểm tra

Triển khai được đề xuất

Bộ điều khiển Miền

Máy trạm Quản trị

Kiểm tra: Nếu chỉ kiểm tra mức sử dụng mật khẩu dưới giá trị tối thiểu thì triển khai như sau.

Triển khai các bản cập nhật cho tất cả các DC được hỗ trợ mà tại đó việc kiểm tra được mong muốn.

Triển khai các bản cập nhật cho máy trạm quản trị được hỗ trợ cho thiết đặt Chính sách Nhóm mới. Sử dụng các máy trạm này để triển khai Chính sách Nhóm đã cập nhật.

Thực thi: Nếu bạn muốn thực thi mật khẩu độ dài tối thiểu thì hãy triển khai như sau.

Windows Máy chủ, phiên bản 2004 DC. Tất cả các DC phải ở phiên bản này hoặc phiên bản mới hơn. Không cần thêm bản cập nhật nào.

Dùng Windows 10, phiên bản 2004. Các thiết đặt Chính sách Nhóm mới để thực thi được bao gồm trong phiên bản này. Sử dụng các máy trạm này để triển khai Chính sách Nhóm đã cập nhật.

Hướng dẫn triển khai

Để thêm hỗ trợ cho việc kiểm tra và thực thi Độ dài Mật khẩu Tối thiểu, hãy làm theo các bước sau:

  1. Triển khai bản cập nhật trên tất cả các phiên bản được Windows trợ trên tất cả bộ điều khiển miền.

    1. Bộ điều khiển Miền: Các bản cập nhật và cập nhật sau đó, cho phép hỗ trợ trên tất cả các DC để xác thực tài khoản người dùng hoặc dịch vụ được đặt cấu hình để sử dụng mật khẩu lớn hơn 14 ký tự.

    2. Máy trạm quản trị: Triển khai các bản cập nhật cho máy trạm quản trị để cho phép áp dụng thiết đặt Chính sách Nhóm mới cho các DC.

  2. Bật cài đặt Chính sách Nhóm Tối thiểuPasswordLengthAudit trên một miền hoặc rừng, trong đó cần sử dụng mật khẩu bắt buộc lâu hơn. Thiết đặt chính sách này phải được bật trong chính sách mặc định của bộ kiểm soát miền được nối kết với đơn vị tổ chức bộ kiểm soát miền (OU).

  3. We recommend leaving the auditing policy enabled for three to six months to detect all software that does not support passwords of greater than 14-characters.

  4. Giám sát các miền cho các sự kiện Directory-Services-SAM 16978 được ghi nhật ký đối với phần mềm quản lý mật khẩu trong ba đến sáu tháng. Bạn không phải giám sát các sự kiện Directory-Services-SAM 16978 được ghi nhật ký vào tài khoản người dùng.

    1. Nếu có thể, hãy cấu hình phần mềm để sử dụng độ dài mật khẩu dài hơn.

    2. Làm việc với nhà cung cấp phần mềm để cập nhật phần mềm để sử dụng mật khẩu dài hơn.

    3. Triển khai chính sách mật khẩu chi tiết cho tài khoản này bằng cách sử dụng một giá trị khớp với độ dài mật khẩu mà phần mềm sử dụng.

    4. Đối với phần mềm quản lý mật khẩu tài khoản nhưng không tự động sử dụng mật khẩu dài và không thể được đặt cấu hình để sử dụng mật khẩu dài, bạn có thể sử dụng chính sách mật khẩu chi tiết cho các tài khoản này.

  5. Sau khi tất cả các sự kiện Directory-Services-SAM 16978 được giải quyết, hãy bật một mật khẩu tối thiểu. Để thực hiện điều này, hãy làm theo các bước sau:

    1. Triển khai một phiên bản máy Windows Server hỗ trợ thực thi trên tất cả các DC (bao Read-Only DC).

    2. Bật Chính sách Nhóm RelaxMinimumPasswordLengthLimits trên tất cả các DCs.

    3. Đặt cấu hình Chính sách Nhóm MinimumPasswordLength trên tất cả các DC.

Chính sách Nhóm

Tên thiết đặt và đường dẫn chính sách, các phiên bản được hỗ trợ

Mô tả

Đường dẫn chính sách: Computer Configuration > Windows Cài đặt > Security Cài đặt > Account Policies -> Password Policy -> Minimum password length audit Setting name: MinimumPasswordLengthAudit

Được hỗ trợ vào:

  • Windows 10, phiên bản 1607

  • Windows Server 2016

  • Windows 10, phiên bản 1809

  • Windows Server, phiên bản 1809

  • Windows 10, phiên bản 1903

  • Windows Máy chủ, phiên bản 1903

  • Windows 10, phiên bản 1909

  • Windows Máy chủ, phiên bản 1909

  • Windows 10, phiên bản 2004

  • Windows Máy chủ, phiên bản 2004

  • và phiên bản mới hơn

Không bắt buộc phải khởi động lại

Kiểm tra độ dài mật khẩu tối thiểu

Thiết đặt bảo mật này xác định độ dài mật khẩu tối thiểu mà các sự kiện cảnh báo kiểm tra độ dài mật khẩu được phát hành. Cài đặt này có thể được đặt cấu hình từ 1 đến 128.

Bạn chỉ nên bật và đặt cấu hình thiết đặt này khi cố gắng xác định tác động tiềm tàng của việc tăng cài đặt độ dài mật khẩu tối thiểu trong môi trường của bạn.

Nếu thiết đặt này không được xác định, các sự kiện kiểm tra sẽ không được phát hành.

Nếu thiết đặt này được xác định và nhỏ hơn hoặc bằng thiết đặt độ dài mật khẩu tối thiểu, các sự kiện kiểm tra sẽ không được phát hành.

Nếu thiết đặt này được xác định và lớn hơn thiết đặt độ dài mật khẩu tối thiểu và độ dài của mật khẩu tài khoản mới nhỏ hơn thiết đặt này, một sự kiện kiểm tra sẽ được phát hành.

Tên thiết đặt và đường dẫn chính sách, các phiên bản được hỗ trợ

Mô tả

Đường dẫn chính sách: Cấu hình Máy tính > Windows Cài đặt > bảo Cài đặt > Chính sách Tài khoản -> Chính sách Mật khẩu -> Giới hạn độ dài mật khẩu tối thiểu Thư giãn Tên thiết đặt: RelaxMinimumPasswordLengthLimits

Được hỗ trợ vào:

  • Windows 10, phiên bản 2004

  • Windows Máy chủ, phiên bản 2004

  • và phiên bản mới hơn

Không bắt buộc phải khởi động lại

Hãy thư giãn giới hạn độ dài mật khẩu tối thiểu

Cài đặt này kiểm soát xem cài đặt độ dài mật khẩu tối thiểu có thể tăng lên vượt quá giới hạn kế thừa là 14 hay không.

Nếu thiết đặt này không được xác định, độ dài mật khẩu tối thiểu có thể được cấu hình thành không quá 14.

Nếu thiết đặt này được xác định và tắt, độ dài mật khẩu tối thiểu có thể được cấu hình thành không quá 14.

Nếu thiết đặt này được xác định và được bật, độ dài mật khẩu tối thiểu có thể được cấu hình trên 14.

Để biết thêm thông tin, hãy xem https://go.microsoft.com/fwlink/?LinkId=2097191.

Tên thiết đặt và đường dẫn chính sách, các phiên bản được hỗ trợ

Mô tả

Đường dẫn chính sách: Cấu hình Máy > Windows Cài đặt > nhóm Bảo Cài đặt > Chính sách Tài khoản -> Chính sách Mật khẩu -> Thiết đặt độ dài mật khẩu tối thiểu: MinimumPasswordLength

Được hỗ trợ vào:

  • Windows 10, phiên bản 2004

  • Windows Máy chủ, phiên bản 2004

  • và phiên bản mới hơn

Không bắt buộc phải khởi động lại

Cài đặt bảo mật này xác định số ký tự tối thiểu mà mật khẩu cho tài khoản người dùng có thể chứa.

Giá trị tối đa cho cài đặt này phụ thuộc vào giá trị của cài đặt giới hạn độ dài mật khẩu tối thiểu Thư giãn.

Nếu cài đặt giới hạn độ dài mật khẩu tối thiểu Thư giãn không được xác định, cài đặt này có thể được đặt cấu hình từ 0 đến 14.

Nếu cài đặt giới hạn độ dài mật khẩu tối thiểu Thư giãn là đã xác định và bị vô hiệu hóa, cài đặt này có thể được đặt cấu hình từ 0 đến 14.

Nếu thiết đặt giới hạn độ dài mật khẩu tối thiểu Thư giãn được xác định và cho phép, cài đặt này có thể được đặt cấu hình từ 0 đến 128.

Đặt số ký tự bắt buộc thành 0 nghĩa là không yêu cầu mật khẩu.

Lưu ý Theo mặc định, các máy tính thành viên hãy làm theo cấu hình của bộ kiểm soát miền.

Giá trị mặc định:

  • 7 trên bộ điều khiển miền

  • 0 trên máy chủ độc lập

Việc đặt cấu hình thiết đặt này lớn hơn 14 có thể ảnh hưởng đến tính tương thích với máy khách, dịch vụ và ứng dụng. Chúng tôi khuyên bạn chỉ nên đặt cấu hình cài đặt này lớn hơn 14 sau khi sử dụng cài đặt kiểm tra độ dài mật khẩu tối thiểu để kiểm tra sự không tương thích tiềm ẩn ở cài đặt mới.

Windows nhật ký sự kiện

Ba thông báo nhật ký ID Sự kiện mới sẽ được bao gồm như một phần của hỗ trợ bổ sung này.

ID Sự kiện 16977

ID sự kiện 16977 sẽ được ghi nhật ký khi cài đặt chính sách MinimumPasswordLength, RelaxMinimumPasswordLengthLimitshoặc MinimumPasswordLengthAudit được đặt cấu hình hoặc sửa đổi ban đầu trong Chính sách Nhóm. Sự kiện này sẽ chỉ được đăng nhập vào các PC. Giá trị RelaxMinimumPasswordLengthLimits sẽ chỉ được ghi nhật ký trong Windows Server, Phiên bản 2004 và các PC phiên bản mới hơn.

Nhật ký sự kiện

Hệ thống

Nguồn sự kiện

Directory-Services-SAM

ID Sự kiện

16977

Cấp độ

Thông tin

Văn bản tin nhắn sự kiện

Tên miền được cấu hình bằng cách dùng các thiết đặt liên quan đến độ dài mật khẩu tối thiểu sau đây.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

Để biết thêm thông tin, hãy xem https://go.microsoft.com/fwlink/?LinkId=2097191.

ID Sự kiện 16978

ID sự kiện 16978 sẽ được ghi nhật ký khi thay đổi mật khẩu tài khoản và mật khẩu ngắn hơn cài đặt MinimumPasswordLengthAudit hiện tại.

Nhật ký sự kiện

Hệ thống

Nguồn sự kiện

Directory-Services-SAM

ID Sự kiện

16978

Cấp độ

Thông tin

Văn bản tin nhắn sự kiện

Tài khoản sau đây được đặt cấu hình để sử dụng mật khẩu có độ dài ngắn hơn cài đặt MinimumPasswordLengthAudit hiện tại.

Tên Tài khoản: MinimumPasswordLength: MinimumPasswordLengthAudit:

Để biết thêm thông tin, hãy xem https://go.microsoft.com/fwlink/?LinkId=2097191.

Sự kiện ID 16979 Enforcement

ID sự kiện 16979 sẽ được ghi nhật ký khi thiết đặt Chính sách Nhóm kiểm tra bị cấu hình sai. Sự kiện này sẽ chỉ được đăng nhập vào các PC. Giá trị RelaxMinimumPasswordLengthLimits sẽ chỉ được ghi nhật ký trong Windows Server, Phiên bản 2004 trở lên. Điều này là dành cho việc khắc phụ.

Nhật ký sự kiện

Hệ thống

Nguồn sự kiện

Directory-Services-SAM

ID Sự kiện

16979

Cấp độ

Lỗi

Văn bản tin nhắn sự kiện

Miền được đặt cấu hình không chính xác với cài đặt MinimumPasswordLength lớn hơn 14 trong khi RelaxMinimumPasswordLengthLimits là chưa được xác định hoặc bị vô hiệu hóa.

Lưu ý Cho đến khi sửa lỗi này, miền sẽ thực thi cài đặt MinimumPasswordLength nhỏ hơn là 14.Giá trị MinimumPasswordLength hiện được cấu hình:

Để biết thêm thông tin, hãy xem https://go.microsoft.com/fwlink/?LinkId=2097191.

Kiểm tra ID Sự kiện 16979

ID sự kiện 16979 sẽ được ghi nhật ký khi thiết đặt Chính sách Nhóm kiểm tra bị cấu hình sai. Sự kiện này sẽ chỉ được đăng nhập vào các PC. Một thông báo nhật ký sự kiện mới được bao gồm để Kiểm tra như là một phần của hỗ trợ được thêm vào này.

Nhật ký sự kiện

Hệ thống

Nguồn sự kiện

Directory-Services-SAM

ID Sự kiện

16979

Cấp độ

Lỗi

Văn bản tin nhắn sự kiện

Tên miền được đặt cấu hình không chính xác với thiết đặt MinimumPasswordLength lớn hơn 14.

Lưu ý Cho đến khi sửa lỗi này, miền sẽ thực thi cài đặt MinimumPasswordLength nhỏ hơn là 14.

Giá trị MinimumPasswordLength hiện được cấu hình:

Để biết thêm thông tin, hãy xem https://go.microsoft.com/fwlink/?LinkId=2097191.

Hướng dẫn thay đổi mật khẩu phần mềm

Sử dụng độ dài mật khẩu tối đa khi đặt mật khẩu trong phần mềm.

Lịch sử

Mặc dù chiến lược bảo mật Tổng thể của Microsoft được tập trung vững chắc vào việc không nhập mật khẩu trong tương lai, nhiều khách hàng không thể di chuyển ra khỏi mật khẩu cho thuật ngữ ngắn sang trung bình. Một số khách hàng tin cậy về bảo mật muốn có thể cấu hình thiết đặt độ dài mật khẩu tối thiểu của miền mặc định lớn hơn 14 ký tự (ví dụ, khách hàng có thể thực hiện điều này sau khi hướng dẫn người dùng của họ sử dụng mật khẩu dài hơn thay vì mật khẩu mã thông báo đơn ngắn truyền thống). Để hỗ trợ yêu cầu này, Các bản cập nhật Windows vào Tháng Tư 2018 cho Windows Server 2016 đã cho phép thay đổi Chính sách Nhóm giúp tăng độ dài mật khẩu tối thiểu từ 14 đến 20 ký tự. Mặc dù thay đổi này có vẻ như hỗ trợ mật khẩu dài hơn nhưng cuối cùng đã không đủ và bị từ chối giá trị mới khi Áp dụng Chính sách Nhóm. Những từ chối này im lặng và cần phải kiểm tra chi tiết để xác định rằng hệ thống không hỗ trợ mật khẩu dài hơn. Bao gồm một bản cập nhật tiếp theo cho lớp Trình quản lý Tài khoản Bảo mật (SAM) cho cả Windows Server 2016 và Windows Server 2019 để cho phép hệ thống hoạt động chính xác đầu cuối với độ dài mật khẩu tối thiểu lớn hơn 14 ký tự. Bao gồm một bản cập nhật tiếp theo cho lớp Trình quản lý Tài khoản Bảo mật (SAM) cho cả Windows Server 2016 và Windows Server 2019 để cho phép hệ thống hoạt động chính xác đầu cuối với độ dài mật khẩu tối thiểu lớn hơn 14 ký tự.

Cài đặt chính sách MinimumPasswordLength đã có phạm vi cho phép từ 0 đến 14 trong một khoảng thời gian rất dài (nhiều hạn chế) trên tất cả các nền tảng Microsoft. Thiết đặt này áp dụng cho cả thiết Windows mật cục bộ và tên miền Active Directory (và NT4 trước đó). Giá trị không (0) ngụ ý rằng không yêu cầu mật khẩu cho bất kỳ tài khoản nào.

Trong các phiên bản Windows cũ hơn, UI Chính sách Nhóm không cho phép đặt độ dài mật khẩu bắt buộc tối thiểu dài hơn 14 ký tự. Tuy nhiên, vào Tháng Tư 2018, chúng tôi đã phát hành các bản cập nhật Windows 10 bổ sung hỗ trợ cho hơn 14 ký tự trong UI Chính sách Nhóm như là một phần của các bản cập nhật như:

  • KB 4093120: 17/04/2018—KB4093120 (Bản dựng HĐH 14393.2214)

Bản cập nhật này bao gồm văn bản ghi chú phát hành sau đây:

"Tăng độ dài mật khẩu tối thiểu trong Chính sách Nhóm thành 20 ký tự."

Một số khách hàng đã cài đặt các bản phát hành Tháng Tư 2018 và thay thế các bản cập nhật, nhận thấy rằng họ vẫn không thể sử dụng những mật khẩu lớn hơn 14 ký tự. Điều tra đã xác định rằng cần cài đặt các bản cập nhật bổ sung trên máy tính vai trò DC cung cấp mật khẩu lớn hơn 14 ký tự được xác định trong chính sách mật khẩu. Các bản cập nhật sau được kích hoạt Windows Server 2016, Windows 10, phiên bản 1607 và bản phát hành ban đầu của bộ kiểm soát miền Windows 10 cho các yêu cầu đăng nhập dịch vụ và yêu cầu xác thực với mật khẩu lớn hơn 14 ký tự:

  • KB 4467684: 27/11/2018—KB4467684 (Bản dựng HĐH 14393.2639)

Bản cập nhật này bao gồm văn bản ghi chú phát hành sau đây:

"Địa chỉ một sự cố ngăn bộ kiểm soát miền áp dụng chính sách mật khẩu Chính sách Nhóm khi độ dài mật khẩu tối thiểu được cấu hình lớn hơn 14 ký tự.".

  • KB 4471327: 11/12/2018—KB4471321 (Bản dựng HĐH 14393.2665)

Một số khách hàng đã xác định mật khẩu lớn hơn 14 ký tự trong chính sách sau khi cài đặt các bản cập nhật Tháng Tư 2018 đến Tháng Mười 2018, về cơ bản vẫn được duy trì trạng thái không hoạt động cho đến Tháng Mười Một 2018 và Tháng Mười Hai 2018 hoặc bộ điều khiển miền được hỗ trợ HĐH gốc để dịch vụ mật khẩu lớn hơn 14 ký tự trong chính sách, do đó loại bỏ liên kết thời gian / sự cố giữa ứng dụng chính sách và bật tính năng. Dù bạn đã cài đặt cập nhật Chính sách Nhóm và bộ kiểm soát miền cùng lúc hay chưa, bạn có thể gặp những hiệu ứng bên sau:

  • Sự cố hiện gặp với các ứng dụng hiện không tương thích với mật khẩu lớn hơn 14 ký tự.

  • Sự cố xảy ra khi miền bao gồm kết hợp phiên bản phát hành của Windows Server 2019 hoặc DCs bản cập nhật 2016 hỗ trợ mật khẩu lớn hơn 14 ký tự và DC Windows Server 2016 trước không hỗ trợ mật khẩu lớn hơn 14 ký tự (cho đến khi tồn tại báo cáo ngược và được cài đặt cho Windows Server 2016).

  • Sau khi cài đặt KB4467684,dịch vụ cụm có thể không khởi động được với lỗi "2245 (NERR_PasswordTooShort)" nếu Chính sách nhóm "Độ dài mật khẩu tối thiểu" được cấu hình với hơn 14 ký tự.

    Hướng dẫn cho sự cố đã biết này là đặt chính sách "Độ dài mật khẩu Tối thiểu" mặc định là nhỏ hơn hoặc bằng 14 ký tự. Chúng tôi đang tìm giải pháp và sẽ cung cấp bản cập nhật trong một bản phát hành sắp tới.

Do các sự cố trước đó, phía DC hỗ trợ mật khẩu lớn hơn 14 ký tự đã bị loại bỏ trong các bản cập nhật Tháng Một 2019 để không sử dụng được tính năng này.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.