Shrnutí
Windows 10 vydané 18. srpna 2020 přidává podporu pro následující:
-
Události auditování a zjistěte, jestli aplikace a služby podporují 15-ti znaková nebo delší hesla.
-
Vynucení minimální délky hesla o délce 15 znaků nebo více na serveru Windows, řadičích domény verze 2004 (DCs).
Podporované verze Windows
Auditování délek hesel je podporované v následujících verzích Windows. V aplikaci Windows Server, verze 2004 a novějších verzích aplikace Windows je podporováno vynucení minimální délky hesla o délce 15 znaků a více znaků.
|
Verze Windows |
KB |
Podpora |
|
Windows 10 verze 2004 |
Zahrnuto v vydané verzi |
Vynucení |
|
Windows 10 verze 1909 |
Auditování |
|
|
Windows 10 verze 1903 |
Auditování |
|
|
|
Auditování |
|
|
Windows 10, verze 1607 |
Auditování |
Navrhované nasazení
|
Řadiče domény |
Pracovní stanice pro správu |
|
|
Auditování: Pokud auditujete jenom použití hesel pod minimální hodnotou, nasaďte ho následujícím způsobem. |
Nasazování aktualizací do všech podporovaných počítačů, kde je auditování žádoucí. |
Nasaďte aktualizace podporovaných pracovních stanic pro správu pro nové Zásady skupiny nastavení. Tyto pracovní stanice slouží k nasazení aktualizovaných zásad skupiny. |
|
Vynucení: Pokud je požadované vynucení hesla s minimální délkou, nasaďte ho následujícím způsobem. |
Windows Server, verze 2004 DCs. Všechny DCs musí být v této nebo novější verzi. Nejsou potřeba žádné další aktualizace. |
Použijte Windows 10, verze 2004. Nová nastavení Zásady skupiny vynucení je součástí této verze. Tyto pracovní stanice slouží k nasazení aktualizovaných zásad skupiny. |
Pokyny pro nasazení
Pokud chcete přidat podporu pro auditování a vynucení minimální délky hesla, postupujte takto:
-
Nasaďte aktualizaci na všechny podporované Windows ve všech řadičích domény.
-
Řadič domény: Aktualizace a novější aktualizace povolují podporu na všech řadičích domény k ověřování uživatelských účtů nebo účtů služeb, které jsou nakonfigurované tak, aby používejte hesla větší než 14 znaků.
-
Pracovní stanice pro správu: Nasaďte aktualizace na pracovní stanice pro správu, abyste umožnili použití nového Zásady skupiny nastavení na počítačích DCs.
-
-
Povolte nastavení MinimumPasswordLengthAudit Zásady skupiny domény nebo doménové struktury, kde jsou požadována delší požadovaná hesla. Toto nastavení zásad by mělo být povolené v zásadách výchozího řadiče domény propojených s organizační jednotkou (OU) řadičů domény.
-
Doporučujeme nechat zásady auditování povolené po dobu tří až šesti měsíců, aby bylo možné zjistit veškerý software, který nepodporuje hesla delší než 14 znaků.
-
Sledujte domény pro události Directory-Services-SAM 16978 protokolované se softwarem, který spravoval hesla po dobu tří až šesti měsíců. Nemáte sledovat události Directory-Services-SAM 16978 protokolované proti uživatelským účtům.
-
Pokud je to možné, nakonfigurujte software tak, aby pou íl delší délku hesla.
-
Spolupracujte s dodavatelem softwaru a aktualizujte software tak, aby se používejte delší hesla.
-
Nasaďte pro tento účet zásady jemného hesla pomocí hodnoty, která odpovídá délce hesla používaného softwarem.
-
U softwaru, který spravuje hesla účtu, ale automaticky nevyužít dlouhá hesla a nelze ho nakonfigurovat tak, aby používal dlouhá hesla, je možné pro tyto účty použít zásady jemného hesla.
-
-
Po vyřešení všech událostí Directory-Services-SAM 16978 povolte minimální heslo. Postupujte takto:
-
Nasaďte verzi Windows Serveru, která podporuje vynucení na všech počítačích (včetně Read-Only DCs).
-
Povolte funkci RelaxMinimumPasswordLengthLimits Zásady skupiny všech počítačích.
-
Nakonfigurujte nastavení MinimumPasswordLength Zásady skupiny všech počítačích.
-
Zásady skupiny
|
Cesta k zásadám a název nastavení, podporované verze |
Popis |
|
Cesta k zásadám: Konfigurace počítače > Windows Nastavení > zabezpečení Nastavení > účtu -> Zásady hesel -> Minimální délka hesla Podporované v:
Restartování není povinné. |
Minimální audit délky hesla Toto nastavení zabezpečení určuje minimální délku hesla, pro kterou se vydávají události upozornění auditování délky hesla. Toto nastavení může být nakonfigurované od 1 do 128. Toto nastavení byste měli povolit a nakonfigurovat jenom v případě, že se pokusíte zjistit potenciální vliv zvýšení minimální délky hesla ve vašem prostředí. Pokud toto nastavení není definované, události auditování se nevydávají. Pokud je toto nastavení definované a je menší nebo rovno nastavení minimální délky hesla, nevydá se události auditování. Pokud je toto nastavení definované a je větší než nastavení minimální délky hesla a délka hesla nového účtu je menší než toto nastavení, vystaví se událost auditování. |
|
Cesta k zásadám a název nastavení, podporované verze |
Popis |
|
Cesta k zásadám: Konfigurace počítače > Windows Nastavení > zabezpečení Nastavení > účtu -> Zásady hesel -> Omezení minimální délky hesla Podporované v:
Restartování není povinné. |
Uvolnění minimálních limitů pro starší délku hesla Toto nastavení určuje, jestli je možné nastavení minimální délky hesla zvýšit nad rámec staršího limitu 14. Pokud toto nastavení není definované, může být minimální délka hesla nakonfigurovaná na ne více než 14. Pokud je toto nastavení definované a zakázané, může být minimální délka hesla nakonfigurovaná na ne více než 14. Pokud je toto nastavení definované a povolené, může být minimální délka hesla nakonfigurovaná více než 14. Další informace najdete v tématu https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Cesta k zásadám a název nastavení, podporované verze |
Popis |
|
Cesta k zásadám: Konfigurace počítače > Windows Nastavení > zabezpečení Nastavení > zásady účtů -> Zásady hesel -> Minimální délka hesla Název Podporované v:
Restartování není povinné. |
Toto nastavení zabezpečení určuje nejmenší počet znaků, které může heslo pro uživatelský účet obsahovat. Maximální hodnota pro toto nastavení závisí na hodnotě nastavení Omezení minimální délky hesla Relax. Pokud nastavení Omezení minimální délky hesla Pro uvolnění hesla není definované, může být toto nastavení nakonfigurované od 0 do 14. Pokud je nastavení limitů minimální délky hesla Pro uvolnění definované a zakázané, může být toto nastavení nakonfigurované od 0 do 14. Pokud je definováno a povoleno nastavení omezení minimální délky hesla Relax, může být toto nastavení nakonfigurované od 0 do 128. Nastavení požadovaného počtu znaků na 0 znamená, že se nevyžaduje žádné heslo. Poznámka Ve výchozím nastavení členské počítače dodržují konfiguraci svých řadičů domény. Výchozí hodnoty:
Konfigurace tohoto nastavení většího než 14 může mít vliv na kompatibilitu s klienty, službami a aplikacemi. Toto nastavení, které je větší než 14, doporučujeme nakonfigurovat jenom po použití nastavení minimální délky auditování hesla k testování potenciálních nekompatibility při novém nastavení. |
Windows zprávy protokolu událostí
Součástí této přidané podpory jsou tři nové zprávy protokolu ID události.
ID události 16977
ID události 16977 se zaprotokoluje, když jsou nastavení zásad MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsnebo MinimumPasswordLengthAudit původně nakonfigurovaná nebo upravená v Zásady skupiny. Tato událost bude protokolována jenom na počítačích DCs. Hodnota RelaxMinimumPasswordLengthLimits se zaprotokoluje jenom v Windows Serveru, verzi 2004 a novější verzi.
|
Protokol událostí |
Systém |
|
Zdroj události |
Directory-Services-SAM |
|
ID události |
16977 |
|
Úroveň |
Informace |
|
Text zprávy události |
Doména je nakonfigurovaná pomocí následujícího nastavení minimální délky hesla. MinimumPasswordLength: Další informace najdete v tématu https://go.microsoft.com/fwlink/?LinkId=2097191. |
ID události 16978
Id události 16978 se zaprotokoluje, když se změní heslo účtu a heslo je kratší než aktuální nastavení MinimumPasswordLengthAudit.
|
Protokol událostí |
Systém |
|
Zdroj události |
Directory-Services-SAM |
|
ID události |
16978 |
|
Úroveň |
Informace |
|
Text zprávy události |
Následující účet je nakonfigurovaný na použití hesla, jehož délka je kratší než aktuální nastavení MinimumPasswordLengthAudit. Název_účtu: Další informace najdete v tématu https://go.microsoft.com/fwlink/?LinkId=2097191. |
Vynucení ID události 16979
ID události 16979 se zaprotokoluje, když je nastavení auditování Zásady skupiny nesprávně nakonfigurované. Tato událost bude protokolována jenom na počítačích DCs. Hodnota RelaxMinimumPasswordLengthLimits bude přihlášena jenom v Windows Server, verze 2004 a novějších verzích. Toto je pro enforcment.
|
Protokol událostí |
Systém |
|
Zdroj události |
Directory-Services-SAM |
|
ID události |
16979 |
|
Úroveň |
Chyba |
|
Text zprávy události |
Doména je nesprávně nakonfigurovaná s nastavením MinimumPasswordLength, které je větší než 14, zatímco RelaxMinimumPasswordLengthLimits je buď nedefinovaná, nebo zakázaná.
Poznámka Dokud to nebude opravené, doména vynucuje menší nastavení MinimumPasswordLength 14. Další informace najdete v tématu https://go.microsoft.com/fwlink/?LinkId=2097191. |
Auditování ID události 16979
ID události 16979 se zaprotokoluje, když je nastavení auditování Zásady skupiny nesprávně nakonfigurované. Tato událost bude protokolována jenom na počítačích DCs. Součástí této přidané podpory je jedna nová zpráva protokolu událostí pro auditování.
|
Protokol událostí |
Systém |
|
Zdroj události |
Directory-Services-SAM |
|
ID události |
16979 |
|
Úroveň |
Chyba |
|
Text zprávy události |
Doména je nesprávně nakonfigurovaná s nastavením MinimumPasswordLength, které je větší než 14. Poznámka Dokud to nebude opraveno, doména vynucuje menší nastavení MinimumPasswordLength14. Aktuálně nakonfigurovaná hodnota MinimumPasswordLength: Další informace najdete v tématu https://go.microsoft.com/fwlink/?LinkId=2097191. |
Pokyny ke změně hesla softwaru
Při nastavování hesla v softwaru použijte maximální délku hesla.
Historie
I když je celková strategie zabezpečení Microsoftu pevně zaměřená na budoucnost bez hesla, mnoho zákazníků nemůže v krátkém až středním období migrovat od hesel. Někteří zákazníci, kteří jsou si vědomi zabezpečení, chtějí mít možnost nakonfigurovat výchozí nastavení minimální délky hesla domény, které je větší než 14 znaků (například zákazníci to můžou udělat, když vyučují uživatele, aby místo tradičních krátkých hesel s jedním tokenem mohli používat delší přístupová hesla). Na podporu této žádosti aktualizace Windows v dubnu 2018 pro Windows Server 2016 povolily změnu Zásady skupiny, která zvýšila minimální délku hesla ze 14 na 20 znaků. I když se zdá, že tato změna podporuje delší heslo, byla nakonec nedostatečná a odmítla novou hodnotu při použití Zásady skupiny hesla. Tato odmítnutí byla tichá a vyžadovala podrobné testování, aby bylo možné zjistit, že systém delší hesla podporuje. Pro Windows Server 2016 i Windows Server 2019 byla zahrnuta aktualizace vrstvy SAM (Security Account Manager), aby systém správně fungoval s minimální délkou hesla větší než 14 znaků. Pro Windows Server 2016 i Windows Server 2019 byla zahrnuta aktualizace vrstvy SAM (Security Account Manager), aby systém správně fungoval s minimální délkou hesla větší než 14 znaků.
Nastavení zásad MinimumPasswordLength má na všech platformách Microsoftu po dlouhou dobu (mnoho desítek let) přípustný rozsah od 0 do 14. Toto nastavení platí jak pro místní Windows zabezpečení, tak pro active directory (a domény NT4 před tím). Hodnota nula (0) znamená, že pro žádný účet není potřeba žádné heslo.
V dřívějších verzích Windows uživatelské rozhraní Zásady skupiny nastavení minimálních požadovaných délek hesel delších než 14 znaků. V dubnu 2018 jsme ale vydali aktualizace Windows 10, které přidaly podporu pro více než 14 znaků v uživatelském rozhraní Zásady skupiny jako součást aktualizací, jako jsou:
-
KB 4093120: 17. dubna 2018 – KB4093120 (build operačního systému 14393.2214)
Tato aktualizace obsahovala následující text poznámky k verzi:
"Zvětší minimální délku hesla v Zásady skupiny na 20 znaků."
Někteří zákazníci, kteří si nainstalovali verze z dubna 2018 a naháněli aktualizace, zjistili, že hesla s více než 14 znaky se stále neschová. Při vyšetřování bylo zjištěno, že je potřeba nainstalovat další aktualizace na počítačích s rolí stejnosměrného řadiče domény, které obsluhuje hesla s více než 14 znaky definovaná v zásadách hesel. Následující aktualizace povolily Windows Server 2016, Windows 10, verzi 1607 Windows 10 počáteční verzi řadičů domény pro přihlášení ke službě Windows 10 žádosti o ověření s více než 14 znakovou hesly:
-
KB 4467684: 27. listopadu 2018 – KB4467684 (build operačního systému 14393.2639)
Tato aktualizace obsahovala následující text poznámky k verzi:
"Řeší problém, který znemožňoval řadičům domény používat zásady Zásady skupiny hesla, pokud je minimální délka hesla nakonfigurovaná na více než 14 znaků."
-
KB 4471327: 11. prosince 2018 – KB4471321 (build operačního systému 14393.2665)
Někteří zákazníci definovali v zásadách více než 14 znaková hesla po instalaci aktualizací z dubna 2018 do října 2018, které v zásadě zůstaly v zásadách neaktivní až do listopadu 2018 a prosince 2018, nebo nativním řadičům domény s povoleným operačním systémem, aby bylo možné v zásadách použít hesla s více než 14 znaky, čímž se odebere propojení času a příčin mezi povolením funkcí a aplikací zásad. Ať už jste Zásady skupiny a aktualizace řadičů domény současně nebo ne, můžou se zobrazit následující vedlejší účinky:
-
Vystavené problémy s aplikacemi, které jsou aktuálně nekompatibilní s více než 14znaky hesel.
-
Vystavené problémy při doménách, které se skládají z kombinace verze Windows Server 2019 nebo aktualizovaných 2016 DCs, které podporují hesla větší než 14 znaků a před Windows Server 2016, které nepodporují hesla větší než 14 znaků (dokud nebudou existovat backporty a nenainstaluje se pro Windows Server 2016).
-
Po instalaci aktualizace KB4467684může clusterová služba selhat s chybou "2245 (NERR_PasswordTooShort)", pokud je Zásady skupiny "Minimální délka hesla" nakonfigurovaná s více než 14 znaky.
Pokyny k tomuto známému problému byly nastavení výchozí zásady "Minimální délka hesla" na hodnotu menší nebo rovnou 14 znakům. Pracujeme na řešení a v některém z nadcházejících vydání poskytneme aktualizaci.
Kvůli dřívějším problémům byla v aktualizacích z ledna 2019 odebrána podpora hesel větších než 14 znaků na straně řadiče domény, aby tuto funkci nebylo možné použít.
