Sign in with Microsoft
Sign in or create an account.

Kokkuvõte

Windows 10 18. augustil 2020 välja antud värskendustega toetatakse järgmist.

  • Auditeerige sündmusi, et teha kindlaks, kas rakendused ja teenused toetavad 15-märgist või pikemat parooli.

  • Vähemalt 15-märgise paroolipikkuse jõustamine Windows server, versioon 2004 domeenikontrollerid (DCs).

Toetatud Windows

Parooli pikkuste auditeerimine on toetatud järgmistes Windows. Vähemalt 15 märgi pikkuse paroolide jõustamist toetatakse Windows Serveris, versioonis 2004 ja uuemates Windows.

Windowsi versioon

KB

Tugi

Windows 10, versioon 2004
Windows Server version 2004

Kaasatud välja antud versiooni

Jõustamine
Auditeerimine

Windows 10, versioon 1909
Windows Server version 1909

KB4566116

Auditeerimine

Windows 10, versioon 1903
Windows Server version 1903

KB4566116

Auditeerimine

Windows 10, versioon 1809
Windows Server 1809
Windows Server 2019

KB4571748

Auditeerimine

Windows 10, versioon 1607
Windows Server 2016

KB4601318

Auditeerimine

Soovitatud juurutamine

Domeenikontrollerid

Haldustööjaamad

Auditeerimine: Kui auditeerite ainult paroolikasutust miinimumväärtusest allpool, siis juurutage järgmiselt.

Juurutage värskendused kõigi toetatud DC-de jaoks, kus auditeerimine on soovitud.

Juurutage uute rühmapoliitika sätete jaoks toetatud haldustööjaamade värskendused. Värskendatud rühmapoliitikate juurutamiseks kasutage neid tööjaamu.

Jõustamine: Kui soovite minimaalse pikkusega parooli jõustamist, siis juurutage järgmiselt.

Windows Server, versioon 2004 DCS. Kõik DCS-id peavad olema selles versioonis või uuemas versioonis. Täiendavaid värskendusi pole vaja.

Kasutage Windows 10 versiooni 2004. Selles versioonis sisalduvad jõustamise uued rühmapoliitika sätted. Värskendatud rühmapoliitikate juurutamiseks kasutage neid tööjaamu.

Juurutamise juhised

Minimaalse paroolipikkusega auditeerimise ja jõustamise tugiteenuste lisamiseks tehke järgmist.

  1. Juurutage värskendus kõigis domeenikontrollerites Windows toetatud versioonides.

    1. Domeenikontroller. Värskendused ja uuemad värskendused võimaldavad kõigil DC-del autentida kasutaja- või teenusekontosid, mis on konfigureeritud kasutama rohkem kui 14-märgilist parooli.

    2. Haldustööjaam. Juurutage haldustööjaamade värskendused, et lubada uute rühmapoliitika sätete rakendamist DCs-ide jaoks.

  2. Lubage domeenis või metsas säte MinimumPasswordLengthAuditi rühmapoliitika, kus soovitud paroolid on pikemad. See poliitikasäte peaks olema lubatud domeenikontrolleri vaikepoliitikas, mis on lingitud domeenikontrollerite organisatsiooniüksusega (OU).

  3. Soovitame jätta auditipoliitika lubatud kolmeks kuni kuueks kuuks, et tuvastada kogu tarkvara, mis ei toeta enam kui 14-märgilisi paroole.

  4. Domeenide korraldamine kataloogiteenuste ja SAM 16978 sündmuste jaoks, mis on logitud tarkvara vastu, mis haldas paroole kolm kuni kuus kuud. Teil pole vaja jälgida kasutajakontode vastu logitud directory-Services-SAM 16978 sündmusi.

    1. Kui see on võimalik, konfigureerige tarkvara kasutama pikemat paroolipikkust.

    2. Töötage tarkvara tarnijaga tarkvara värskendamiseks, et kasutada pikemaid paroole.

    3. Selle konto jaoks peeneteralise paroolipoliitika juurutamiseks kasutage väärtust, mis vastab tarkvara kasutatavale parooli pikkusele.

    4. Tarkvara korral, mis haldab konto paroole, kuid ei kasuta automaatselt pikki paroole ja mida ei saa konfigureerida kasutama pikki paroole, saab nende kontode puhul kasutada peeneteralist paroolipoliitikat.

  5. Kui kõik directory-Services-SAM 16978 sündmused on lahendatud, lubage minimaalne parool. Selleks tehke järgmist.

    1. Juurutage serveri Windows, mis toetab jõustamist kõigis DCdes (sh Read-Only DCs).

    2. Lubage kõigi DC-de jaoks RelaxMinimumPasswordLengthLimits'i rühmapoliitika.

    3. Konfigureerige kõigi DCs-ide jaoks miinimumparooli rühmapoliitika.

Rühmapoliitika

Poliitikatee ja sätte nimi, toetatud versioonid

Kirjeldus

Poliitikatee: Arvuti konfigureerimine > Windows Sätted > Turbepoliitikad Sätted > -> Paroolpoliitika -> Minimaalne parooli pikkus audit

Sätte nimi: MinimumPasswordLengthAudit

Toetatud:

  • Windows 10, versioon 1607

  • Windows Server 2016

  • Windows 10, versioon 1809

  • Windows Server, versioon 1809

  • Windows 10, versioon 1903

  • Windows Server, versioon 1903

  • Windows 10, versioon 1909

  • Windows Server, versioon 1909

  • Windows 10, versioon 2004

  • Windows Server, versioon 2004

  • ja uuemad versioonid

Taaskäivitamine pole nõutav

Parooli pikkuse miinimumaudit

See turbesäte määratleb parooli minimaalse pikkuse, mille jaoks paroolpikkusega auditi hoiatussündmused väljastatakse. See säte võib olla konfigureeritud 1-st 128-ni.

Selle sätte peaksite lubama ja konfigureerima ainult siis, kui püüate kindlaks teha, milline on teie keskkonnas minimaalse paroolipikkuse sätte suurendamise potentsiaalne mõju.

Kui see säte pole määratletud, siis auditisündmusi ei väljastata.

Kui see säte on määratletud ja on väiksem või võrdne minimaalse parooli pikkuse sättega, siis auditisündmusi ei väljastata.

Kui see säte on määratletud ja see on suurem kui parooli miinimumpikkuse säte ja uue konto parooli pikkus on sellest sättest väiksem, antakse välja auditisündmus.

Poliitikatee ja sätte nimi, toetatud versioonid

Kirjeldus

Poliitikatee: Arvuti konfigureerimine > Windows Sätted > Turbepoliitikad Sätted > -> Paroolipoliitika -> Relax parooli minimaalsed pikkusepiirangud

Sätte nimi: RelaxMinimumPasswordLengthLimits

Toetatud:

  • Windows 10, versioon 2004

  • Windows Server, versioon 2004

  • ja uuemad versioonid

Taaskäivitamine pole nõutav

Minimaalse paroolipikkusega pärandpiirangute leevendamine

See säte määrab, kas parooli miinimumpikkuse sätet saab suurendada üle pärandlimiidi 14.

Kui see säte pole määratletud, võib minimaalne parooli pikkus olla konfigureeritud kuni 14-ni.

Kui see säte on määratletud ja keelatud, võib minimaalne parooli pikkus olla konfigureeritud kuni 14-ni.

Kui see säte on määratletud ja lubatud, võib minimaalne parooli pikkus olla konfigureeritud rohkem kui 14.

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Poliitikatee ja sätte nimi, toetatud versioonid

Kirjeldus

Poliitikatee: Arvuti konfigureerimine > Windows Sätted > Turbepoliitikad Sätted > -> Paroolpoliitika -> Minimaalne parooli pikkus Sätte

nimi: MinimumPasswordLength

Toetatud:

  • Windows 10, versioon 2004

  • Windows Server, versioon 2004

  • ja uuemad versioonid

Taaskäivitamine pole nõutav

See turbesäte määratleb, kui palju märke võib kasutajakonto parool sisaldada.

Selle sätte maksimaalne väärtus sõltub sätte Leevenda parooli minimaalse pikkuse piirmäärade väärtusest.

Kui säte Leevenda parooli minimaalse pikkuse piiranguid pole määratletud, võib see säte olla konfigureeritud 0-st 14-ni.

Kui säte Leevenda parooli minimaalse pikkuse piiranguid on määratletud ja keelatud, võib see säte olla konfigureeritud 0-st 14-ni.

Kui säte Leevenda minimaalse parooli pikkuse piiranguid on määratletud ja lubatud, võib see säte olla konfigureeritud 0-st 128-ni.

Nõutava märkide arvu 0 seadmine tähendab, et parooli pole vaja.

Märkus Vaikimisi jälgivad liikmearvutid oma domeenikontrollerite konfiguratsiooni.

Vaikeväärtused:

  • 7 domeenikontrollerites

  • 0 autonoomsetes serverites

Selle sätte konfigureerimine, mis on suurem kui 14, võib mõjutada ühilduvust klientide, teenuste ja rakendustega. Soovitame konfigureerida selle sätte, mis on suurem kui 14, pärast seda, kui kasutate uue sätte võimalike vastuolude testimiseks sätet Miinimumparooli pikkus.

Windows sündmuste logiteated

Selle lisatugi hulka kuuluvad kolm uut sündmuse ID logiteadet.

Sündmuse ID 16977

Sündmuse ID 16977 logitakse siis, kui poliitikasätted MinimumPasswordLength,RelaxMinimumPasswordLengthLimitsvõi MinimumPasswordLengthAudit on rühmapoliitikas algselt konfigureeritud või muudetud. See sündmus logitakse sisse ainult DCS-idesse. Väärtus RelaxMinimumPasswordLengthLimits logitakse ainult Windows Serverisse, versiooni 2004 ja uuemasse versiooni.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16977

Tase

Teave

Sündmusesõnumi tekst

Domeen on konfigureeritud järgmiste minimaalsete parooli pikkusega seotud sätete abil.

MinimumPasswordLength:
RelaxMinimumPasswordLengthLimits:
MinimumPasswordLengthAudit:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Sündmuse ID 16978

Konto parooli muutmiseks logitakse sündmuse ID 16978 ja parool on praegusest Sättest MinimumPasswordLengthAudit lühem.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16978

Tase

Teave

Sündmusesõnumi tekst

Järgmine konto on konfigureeritud kasutama parooli, mille pikkus on praegusest Sättest MinimumPasswordLengthAudit lühem.

Kontonimi:
MinimumPasswordLength:
MinimumPasswordLengthAudit:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Sündmuse ID 16979 enforcement

Kui auditi rühmapoliitika sätted on valesti konfigureeritud, logitakse sündmuse ID 16979. See sündmus logitakse sisse ainult DCS-idesse. Väärtus RelaxMinimumPasswordLengthLimits logitakse ainult Windows Serverisse, versiooni 2004 ja uuemasse versiooni. See on forforcment.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16979

Tase

Tõrge

Sündmusesõnumi tekst

Domeen on valesti konfigureeritud sättega MinimumPasswordLength, mis on suurem kui 14, kui RelaxMinimumPasswordLengthLimits on määratlemata või keelatud.

Märkus Seni, kuni see on parandatud, jõustab domeen väiksema sätte MinimumPasswordLength väärtusega 14.
Praegu konfigureeritud väärtus MinimumPasswordLength:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.


Sündmuse ID 16979 auditeerimine

Kui auditi rühmapoliitika sätted on valesti konfigureeritud, logitakse sündmuse ID 16979. See sündmus logitakse sisse ainult DCS-idesse. Selle lisatud toe osana kaasatakse auditisse üks uus sündmuselogi sõnum.

Sündmuselogi

Süsteem

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16979

Tase

Tõrge

Sündmusesõnumi tekst

Domeen on valesti konfigureeritud sättega MinimumPasswordLength, mis on suurem kui 14.

Märkus Seni, kuni see on parandatud, jõustab domeen väiksema sätte MinimumPasswordLength väärtusega14.

Praegu konfigureeritud väärtus MinimumPasswordLength:

Lisateavet leiate teemast https://go.microsoft.com/fwlink/?LinkId=2097191.

Tarkvaraparooli muutmise juhised

Parooli seadmisel tarkvaras kasutage parooli maksimaalset pikkust.

Ajalugu

Kuigi Üldine Microsofti turbestrateegia on kindlalt suunatud paroolita tulevikule, ei saa paljud kliendid lühikeseks ja keskmise aja jooksul paroolidest eemaldunuks minna. Mõned turbeteadlikud kliendid soovivad konfigureerida domeeni minimaalse parooli vaikesätte, mis on suurem kui 14 märki (näiteks võivad kliendid seda teha pärast seda, kui nad on võimelised kasutama traditsiooniliste lühikeste ja ühekordsete märkide paroolide asemel pikemaid paroole). Selle taotluse toetuseks lubas Windows Server 2016 värskendus Windows aprillis 2018 rühmapoliitika muudatuse, mis suurendas minimaalset parooli pikkust 14-lt 20 märgini. Kuigi see muudatus toetas pikemat parooli, oli see lõpuks ebapiisav ja lükkas rühmapoliitika rakendamist uue väärtuse tagasi. Need tagasilükkamised olid vaiksed ja vajasid üksikasjalikku testimist, et teha kindlaks, kas süsteem ei toetanud enam paroole. Turbekonto halduri (SAM) kihi järelvärskendus lisati nii Windows Server 2016 kui ka Windows Server 2019 jaoks, et süsteem töötaks õigesti, nii et minimaalne paroolipikkus on suurem kui 14 märki. Turbekonto halduri (SAM) kihi järelvärskendus lisati nii Windows Server 2016 kui ka Windows Server 2019 jaoks, et süsteem töötaks õigesti, nii et minimaalne paroolipikkus on suurem kui 14 märki.

Poliitikasäte MinimumPasswordLength on olnud lubatud vahemikus 0–14 väga pikka aega (mitu aastakümmet) kõigil Microsofti platvormidel. See säte kehtib nii kohalike Windows kui ka Active Directory (ja NT4 domeenide) kohta. Väärtus null (0) tähendab, et ühegi konto jaoks pole parooli vaja.

Windows varasemates versioonides ei lubanud rühmapoliitika kasutajaliides määrata minimaalset nõutavat paroolipikkust, mis on pikem kui 14 märki. 2018. aasta aprillis andsime siiski välja Windows 10 värskendused, mis lisasid rühmapoliitika kasutajaliideses rohkem kui 14-märgise toe värskenduste osana, näiteks:

  • KB 4093120: 17. aprill 2018 – KB4093120 (operatsioonisüsteemi järk 14393.2214)

See värskendus sisaldas järgmist versioonimärkuse teksti.

"Suurendab rühmapoliitika minimaalset parooli pikkust 20 märgini."

Mõned kliendid, kes installisid 2018. aasta aprilli väljaanded ja asendasid värskendusi, leidsid, et nad ei saanud siiski kasutada rohkem kui 14-märgist paroole. Uurimise käigus tehti kindlaks, et dc-rolliarvutitesse tuleb installida täiendavaid värskendusi, mis teenindavad paroolipoliitikas määratletud 14 märgist suuremaid paroole. Järgmised värskendused on lubatud Windows Server 2016, Windows 10, versioon 1607 ja Windows 10 domeenikontrollerite algne väljalase teenuse sisselogimistele ja autentimistaotlustele, mille parool on suurem kui 14 märki.

  • KB 4467684: 27. november 2018 – KB4467684 (operatsioonisüsteemi järk 14393.2639)

See värskendus sisaldas järgmist versioonimärkuse teksti.

"Lahendab probleemi, mis takistab domeenikontrolleritel rühmapoliitika paroolipoliitika rakendamist, kui parooli miinimumpikkus on konfigureeritud olema suurem kui 14 märki."

  • KB 4471327: 11. detsember 2018 – KB4471321 (operatsioonisüsteemi järk 14393.2665)

Mõned kliendid määratlesid pärast 2018. aasta aprillist kuni oktoobrini 2018 värskenduste installimist poliitikas rohkem kui 14-märgilisi paroole, mis sisuliselt jäid 2018. aasta novembrini ja detsembrini 2018 muutumatuks, või lubas kohalik OS domeenikontrolleritel kasutada rohkem kui 14-märgilisi paroole poliitikas, eemaldades seega funktsiooni lubamise ja poliitikarakenduse vahelise aja ja põhjusliku seose. Olenemata sellest, kas installisite rühmapoliitika ja domeenikontrolleri värskendused korraga või mitte, võidakse kuvada järgmised kõrvalmõjud.

  • Avatud probleemid rakendustega, mis ei ühildu praegu enam kui 14-märgiste paroolidega.

  • Avatud probleemid, kui domeenid, mis koosnevad versiooni Windows Server 2019 versioonist või värskendatud 2016 DC-dest, mis toetavad rohkem kui 14-märgilist parooli ja Windows Server 2016 eelserverit, mis ei toeta rohkem kui 14-märgilist parooli (kuni Windows Server 2016 jaoks on olemas tagasipordid).

  • Pärast KB4467684installimist ei pruugi klastriteenus käivituda tõrkega "2245 (NERR_PasswordTooShort)", kui rühmapoliitika "Minimaalne parooli pikkus" on konfigureeritud rohkem kui 14 märgiga.

    Selle teadaoleva probleemi juhised olid määrata domeeni vaikepoliitika "Minimaalne parooli pikkus" väärtuseks kuni 14 märki. Tegeleme lahenduse otsimisega ja lisame selle mõnda edaspidi välja antavasse värskendusse.

Varasemate probleemide tõttu eemaldati 2019. aasta jaanuaris enam kui 14-märgiste paroolide alalisvoolu tugi, et seda funktsiooni ei saa kasutada.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×