Sammendrag
Windows 10 opdateringer, der blev udgivet d. 18. august 2020, understøtter følgende:
-
Overvågningshændelser for at identificere, om programmer og tjenester understøtter 15 tegn eller længere adgangskoder.
-
Håndhævelse af minimum adgangskodelængden på 15 tegn eller mere på Windows Server, version 2004 domænecontrollere (DCs).
Understøttede versioner af Windows
Overvågning af længden på adgangskoder understøttes på følgende versioner af Windows. Håndhævelse af minimum adgangskodelængder på 15 tegn eller mere understøttes i Windows Server, version 2004 og i nyere versioner af Windows.
|
Windows-version |
KB |
Support |
|
Windows 10, version 2004 |
Inkluderet i den frigivne version |
Håndhævelse |
|
Windows 10, version 1909 |
Overvågning |
|
|
Windows 10, version 1903 |
Overvågning |
|
|
|
Overvågning |
|
|
Windows 10, version 1607 |
Overvågning |
Foreslået installation
|
Domænecontrollere |
Administrative arbejdsstationer |
|
|
Overvågning: Hvis det kun er overvågning af brug af adgangskode, der er under en minimumsværdi, skal du installere på følgende måde. |
Installér opdateringer til alle understøttede DCs, hvor overvågning er ønsket. |
Installér opdateringer til understøttede administrative arbejdsstationer for nye Gruppepolitik indstillinger. Brug disse arbejdsstationer til at installere opdaterede gruppepolitikker. |
|
Håndhævelse: Hvis du ønsker en minimumlængde for håndhævelse af adgangskode, skal du installere på følgende måde. |
Windows Server, version 2004 DCs. Alle pc'er skal være i denne version eller en nyere version. Der kræves ingen yderligere opdateringer. |
Brug Windows 10, version 2004. De nye Gruppepolitik for håndhævelse er inkluderet i denne version. Brug disse arbejdsstationer til at installere opdaterede gruppepolitikker. |
Retningslinjer for installation
Hvis du vil tilføje understøttelse af overvågning og håndhævelse af minimumlængden af adgangskoder, skal du følge disse trin:
-
Installér opdateringen på alle understøttede Windows på alle domænecontrollere.
-
domænecontroller: Opdateringerne og senere opdateringer gør det muligt for support på alle pc'er at godkende bruger- eller tjenestekonti, der er konfigureret til at bruge mere end 14 tegns adgangskoder.
-
Administrativ arbejdsstation: Installér opdateringer til administrative arbejdsstationer for at tillade anvendelse af de nye Gruppepolitik indstillinger på DCs.
-
-
Aktivér indstillingen MinimumPasswordLengthAudit Gruppepolitik på et domæne eller en skov, hvor der ønskes længere påkrævede adgangskoder. Denne politikindstilling skal være aktiveret i standarddomænecontrollerens politik, der er knyttet til domænecontrolleres organisationsenhed.
-
Vi anbefaler, at overvågningspolitikken er aktiveret i tre til seks måneder til at registrere al software, der ikke understøtter adgangskoder på mere end 14 tegn.
-
Overvåg domæner for Directory-Services-SAM 16978-hændelser, der er logget mod software, der administrerede adgangskoder i tre til seks måneder. Du behøver ikke at overvåge Directory-Services-SAM 16978-hændelser, der er logget på brugerkonti.
-
Hvis det er muligt, skal softwaren konfigureres til at bruge en længere adgangskodelængde.
-
Arbejd sammen med softwareleverandøren om at opdatere softwaren til at bruge længere adgangskoder.
-
Deploy a fine-grain password policy for this account by using a value that matches the password length used by the software.
-
Til software, der administrerer kontoadgangskoder, men ikke automatisk bruger lange adgangskoder og ikke kan konfigureres til at bruge lange adgangskoder, kan der bruges en politik for mange adgangskoder til disse konti.
-
-
Når alle Directory-Services-SAM 16978-hændelserne er adresseret, skal du aktivere en minimumadgangskode. Det kan du gøre, ved at følge disse trin:
-
Installér en version af Windows server, der understøtter håndhævelse på alle DCs (herunder Read-Only-pc'er).
-
Aktivér RelaxMinimumPasswordLengthLimits Gruppepolitik på alle DCs.
-
Konfigurer MinimumPasswordLength-Gruppepolitik på alle DCs.
-
Gruppepolitik
|
Politiksti og indstillingsnavn, understøttede versioner |
Beskrivelse |
|
Politiksti: Computerkonfiguration > Windows Indstillinger > Kontopolitikker Indstillinger > -> politik for adgangskode > til overvågning af minimum adgangskodelængde – Understøttes på:
En genstart er ikke påkrævet |
Overvågning af minimum adgangskodelængde Denne sikkerhedsindstilling bestemmer den mindste adgangskodelængde, som advarselshændelser for overvågning af adgangskodelængde udstedes for. Denne indstilling kan konfigureres fra 1 til 128. Du bør kun aktivere og konfigurere denne indstilling, når du forsøger at bestemme den potentielle effekt af at øge den mindste indstilling for adgangskodelængde i dit miljø. Hvis denne indstilling ikke er defineret, udstedes overvågningshændelser ikke. Hvis denne indstilling er defineret og mindre end eller lig med minimumsindstillingen for adgangskodelængde, udstedes overvågningshændelser ikke. Hvis denne indstilling er defineret og er større end minimumsindstillingen for adgangskodelængde, og længden af en ny adgangskode til en ny konto er mindre end denne indstilling, udstedes der en overvågningshændelse. |
|
Politiksti og indstillingsnavn, understøttede versioner |
Beskrivelse |
|
Politiksti: Politik for > Windows Indstillinger > computerkonfiguration Indstillinger > Kontopolitikker – > Politik for adgangskode – > Slap af minimumgrænser for adgangskodelængde Understøttes på:
En genstart er ikke påkrævet |
Slap af med den mindste grænse for adgangskodelængde Denne indstilling styrer, om minimumsindstillingen for længden af adgangskoder kan øges ud over den ældre grænse på 14. Hvis denne indstilling ikke er defineret, kan minimum adgangskodelængden konfigureres til højst 14. Hvis denne indstilling er defineret og deaktiveret, kan minimum adgangskodelængden være konfigureret til højst 14. Hvis denne indstilling er defineret og aktiveret, kan den mindste adgangskodelængde konfigureres mere end 14. Du kan finde flere oplysninger i https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
Politiksti og indstillingsnavn, understøttede versioner |
Beskrivelse |
|
Politiksti: Politik for > Windows Indstillinger > for Indstillinger > til politikker for computerkonfiguration – > politik for adgangskode – > mindste adgangskodelængde Indstillingsnavn: Understøttes på:
En genstart er ikke påkrævet |
Denne sikkerhedsindstilling bestemmer det mindste antal tegn, som en adgangskode til en brugerkonto må indeholde. Maksimumværdien for denne indstilling afhænger af værdien af indstillingen Slap af minimumgrænsen for adgangskodelængde. Hvis indstillingen For slap af minimumlængden af adgangskoder ikke er defineret, kan denne indstilling være konfigureret fra 0 til 14. Hvis minimumsindstillingen For slap af minimumlængde for adgangskoder er defineret og deaktiveret, kan denne indstilling konfigureres fra 0 til 14. Hvis indstillingen For minimumlængde af adgangskoder er defineret og aktiveret, kan denne indstilling konfigureres fra 0 til 128. Hvis du angiver det påkrævede antal tegn til 0, betyder det, at der ikke kræves en adgangskode. Bemærk! Medlemscomputere følger som standard konfigurationen af deres domænecontrollere. Standardværdier:
Konfiguration af denne indstilling, der er større end 14, kan påvirke kompatibiliteten med klienter, tjenester og programmer. Vi anbefaler, at du kun konfigurerer denne indstilling, der er større end 14, når du har brugt overvågningsindstillingen Mindste adgangskodelængde for at teste for potentielle kompatibilitetsindstillinger ved den nye indstilling. |
Windows meddelelser i hændelsesloggen
Der er inkluderet tre nye meddelelser om hændelses-id'er som en del af denne ekstra support.
Hændelses-id 16977
Hændelses-id'et 16977 logføres, når politikindstillingerne MinimumPasswordLength,RelaxMinimumPasswordLengthLimitseller MinimumPasswordLengthAudit indledningsvist konfigureres eller ændres i Gruppepolitik. Denne hændelse logges kun på DCs. Værdien RelaxMinimumPasswordLengthLimits logges kun på Windows Server, Version 2004 og nyere versioner af DCs.
|
Hændelseslog |
System |
|
Hændelseskilde |
Directory-Services-SAM |
|
Hændelses-id |
16977 |
|
Niveau |
Oplysninger |
|
Meddelelsestekst for begivenhed |
Domænet konfigureres ved hjælp af følgende minimumsindstillinger for adgangskodelængde. MinimumAdgangskodeLength: Du kan finde flere oplysninger i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Hændelses-id 16978
Hændelses-id'et 16978 logføres, når en kontos adgangskode ændres, og adgangskoden er kortere end den aktuelle indstilling MinimumPasswordLengthAudit.
|
Hændelseslog |
System |
|
Hændelseskilde |
Directory-Services-SAM |
|
Hændelses-id |
16978 |
|
Niveau |
Oplysninger |
|
Meddelelsestekst for begivenhed |
Følgende konto er konfigureret til at bruge en adgangskode, hvis længde er kortere end den aktuelle indstilling MinimumPasswordLengthAudit. AccountName: Du kan finde flere oplysninger i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Hændelses-id for håndhævelse 16979
Hændelses-id'et 16979 logføres, når Gruppepolitik indstillingerne er konfigureret forkert. Denne hændelse logges kun på DCs. Værdien RelaxMinimumPasswordLengthLimits logges kun på Windows Server, Version 2004 og nyere version DCs. Dette er til enforcment.
|
Hændelseslog |
System |
|
Hændelseskilde |
Directory-Services-SAM |
|
Hændelses-id |
16979 |
|
Niveau |
Fejl |
|
Meddelelsestekst for begivenhed |
Domænet er forkert konfigureret med en MinimumPasswordLength-indstilling, der er større end 14, mens RelaxMinimumPasswordLengthLimits enten er ikke defineret eller deaktiveret.
Bemærk! Indtil dette er rettet, gennemtvinger domænet en mindre indstilling af MinimumPasswordLength på 14. Du kan finde flere oplysninger i https://go.microsoft.com/fwlink/?LinkId=2097191. |
Hændelses-id 16979 Overvågning
Hændelses-id'et 16979 logføres, når Gruppepolitik indstillingerne er konfigureret forkert. Denne hændelse logges kun på DCs. Der medfølger en ny meddelelse i hændelsesloggen til overvågning som en del af denne tilføjede support.
|
Hændelseslog |
System |
|
Hændelseskilde |
Directory-Services-SAM |
|
Hændelses-id |
16979 |
|
Niveau |
Fejl |
|
Meddelelsestekst for begivenhed |
Domænet er forkert konfigureret med en MinimumPasswordLength-indstilling, der er større end 14. Bemærk! Indtil dette er rettet, gennemtvinger domænet en mindre indstilling af MinimumPasswordLength på 14. Konfigureret værdi for MinimumAdgangskodeLength: Du kan finde flere oplysninger under https://go.microsoft.com/fwlink/?LinkId=2097191. |
Vejledning til ændring af adgangskode til software
Brug den maksimale adgangskodelængde, når du angiver en adgangskode i software.
Oversigt
Selvom den overordnede Microsoft-sikkerhedsstrategi er fokuseret på en adgangskodefri fremtid, kan mange kunder ikke overflytte væk fra adgangskoder på kort og mellemlangt sigt. Nogle sikkerhedsbevidste kunder ønsker at kunne konfigurere en minimumsindstilling for adgangskodelængde for et standarddomæne, der er større end 14 tegn (kunder kan f.eks. gøre dette, når de har uddannet deres brugere til at bruge længere adgangskodeudtryk i stedet for de traditionelle korte adgangskoder med enkelttokens). Som support for denne anmodning aktiverede Windows-opdateringer i april 2018 til Windows Server 2016 en Gruppepolitik-ændring, der øgede den mindste adgangskodelængde fra 14 til 20 tegn. Selvom denne ændring syntes at understøtte længere adgangskode, var den i sidste ende utilstrækkelig og afviste den nye værdi, da Gruppepolitik blev anvendt. Disse afvisninger var lydløse og krævede detaljeret test for at fastslå, at systemet ikke understøttede længere adgangskoder. Der fulgte en opfølgende opdatering til SAM-laget (Security Account Manager) for både Windows Server 2016 og Windows Server 2019, så systemet kan fungere korrekt fra ende til anden med en adgangskodelængde, der er længere end 14 tegn. Der fulgte en opfølgende opdatering til SAM-laget (Security Account Manager) for både Windows Server 2016 og Windows Server 2019, så systemet kan fungere korrekt fra ende til anden med en adgangskodelængde, der er længere end 14 tegn.
Politikindstillingen MinimumPasswordLength har haft et tilladt interval fra 0 til 14 i meget lang tid (mange mennesker) på alle Microsoft-platforme. Denne indstilling gælder både for lokale Windows og Active Directory (og NT4-domæner før). En værdi på nul (0) betyder, at der ikke kræves en adgangskode til en konto.
I tidligere versioner af Windows aktiverede brugergrænsefladen Gruppepolitik indstilling af minimumskravet til adgangskodelængder, der er længere end 14 tegn. Men i april 2018 udgav vi opdateringer til Windows 10, der har tilføjet understøttelse af mere end 14 tegn i brugergrænsefladen i Gruppepolitik som en del af opdateringer som f.eks.:
-
KB 4093120:17. april 2018 – KB4093120 (OS-build 14393.2214)
Denne opdatering indeholdt følgende tekst til produktbemærkninger:
"Øger den mindste adgangskodelængde på Gruppepolitik til 20 tegn."
Nogle kunder, der installerede udgivelserne for april 2018 og erstattede opdateringer, fandt, at de stadig ikke kunne bruge mere end 14-tegns adgangskoder. Undersøgelsen identificerede, at yderligere opdateringer skal installeres på DC-rollecomputere, der servicerer de mere end 14 tegns adgangskoder, der er defineret i adgangskodepolitikken. Følgende opdateringer er aktiveret Windows Server 2016, Windows 10, version 1607 og den første udgivelse af Windows 10-domænecontrollere til at servicere logon- og godkendelsesanmodninger med mere end 14 tegns adgangskoder:
-
KB 4467684:27. november 2018 – KB4467684 (OS-build 14393.2639)
Denne opdatering indeholdt følgende tekst til produktbemærkninger:
"Løser et problem, der forhindrer domænecontrollere i at anvende politikken for adgangskode i Gruppepolitik, når den mindste adgangskodelængde er konfigureret til at være større end 14 tegn."
-
KB 4471327:11. december 2018 – KB4471321 (OS-build 14393.2665)
Nogle kunder definerede mere end 14-tegns adgangskoder i politikken efter at have installeret opdateringerne for april 2018 til og med oktober 2018, som i bund og grund forblev inaktive indtil november 2018 og december 2018-opdateringer eller et indbygget OS-aktiveret domænecontrollere til at servicere mere end 14-tegns adgangskoder i politikken, hvilket fjerner linket til tid/årsag mellem funktionsaktivering og politikprogrammet. Uanset om du Gruppepolitik domænecontroller og domænecontroller opdateringer på samme tid eller ej, kan du muligvis se følgende bivirkninger:
-
Eksponerede problemer med programmer, der i øjeblikket ikke er kompatible med mere end 14 tegns adgangskoder.
-
Eksponerede problemer, når domæner, der består af en blanding af udgivelsesversionen af Windows Server 2019 eller en opdateret 2016-pc, der understøtter mere end 14 tegns adgangskoder og DCs på forhånd Windows Server 2016, der ikke understøtter mere end 14 tegns adgangskoder (indtil backports findes og installeres til Windows Server 2016).
-
Når du har installeret KB4467684,kan klyngetjenesten muligvis ikke starte med fejlen "2245 (NERR_PasswordTooShort)", hvis Gruppepolitik "Minimum adgangskodelængde" er konfigureret med mere end 14 tegn.
Vejledningen til dette kendte problem var at indstille standardpolitikken for "Minimum adgangskodelængde" til mindre end eller lig med 14 tegn. Vi arbejder på en løsning og vil levere en opdatering i en kommende version.
På grund af de tidligere problemer blev DC-sidens understøttelse af mere end 14-tegns adgangskoder fjernet i opdateringerne for januar 2019, så funktionen ikke kan bruges.
