Resumo

Windows 10 atualizações lançadas a 18 de agosto de 2020 adiciona suporte para os seguintes:

  • Auditar Eventos para identificar se as aplicações e os serviços suportam palavras-passe de 15 carateres ou mais.

  • Imposição do comprimento de palavra-passe mínimo de 15 carateres ou mais no Windows Server, versão 2004 controladores de domínio (DCs).

Versões suportadas do Windows

A auditoria do comprimento da palavra-passe é suportada nas seguintes versões do Windows. A imposição do comprimento de palavra-passe mínima de 15 carateres ou mais é suportada no Windows Server, versão 2004 e em versões posteriores do Windows.

Versão do Windows

BDC

Suporte

Windows 10 Versão 2004 Windows
Server 2004

Incluído na versão lançada

Imposição
Auditoria

Windows 10 Versão 1909
Windows Server versão 1909

KB4566116

Auditoria

Windows 10, versão 1903
Windows Server versão 1903

KB4566116

Auditoria


Windows 10, versão 1809 Windows Versão 1809
Windows Server 2019

KB4571748

Auditoria

Windows 10, versão 1607
Windows Server 2016

KB4601318

Auditoria

Implementação sugerida

Controladores de Domínio

Estações de Trabalho Administrativas

Auditoria: Se apenas auditar a utilização de palavras-passe abaixo de um valor mínimo, implemente da seguinte forma.

Implementar atualizações em todos os DCs suportados em que seja desejada uma auditoria.

Implementar atualizações em estações de trabalho administrativas suportadas para novas definições da Política de Grupo. Utilize estas estações de trabalho para implementar Políticas de Grupo atualizadas.

Imposição: Se quiser a imposição da palavra-passe com o comprimento mínimo, implemente da seguinte forma.

Windows Server, versão 2004 DCs. Todos os DCs têm de estar nesta versão ou numa versão posterior. Não são necessárias atualizações adicionais.

Utilize Windows 10, versão 2004. As novas definições da Política de Grupo para imposição estão incluídas nesta versão. Utilize estas estações de trabalho para implementar Políticas de Grupo atualizadas.

Diretrizes de implementação

Para adicionar suporte para a auditoria e imposição de Comprimento de Palavra-passe Mínimo, siga estes passos:

  1. Implemente a atualização em todas as versões Windows suportadas em todos os Controladores de Domínio.

    1. Controlador de Domínio: as atualizações e as atualizações posteriores ativam o suporte em todos os DCs para autenticar contas de utilizador ou de serviço configuradas para utilizar palavras-passe com mais de 14 carateres.

    2. Estação de trabalho administrativo: implemente as atualizações em estações de trabalho administrativas para permitir a aplicação das novas definições da Política de Grupo aos DCs.

  2. Ative a definição da Política de Grupo MinimumPasswordLengthAudit num domínio ou floresta onde pretendam palavras-passe mais compridas. Esta definição de política deve ser ativada na política do controlador de domínio predefinida ligada à unidade organizacional de controladores de domínio (OU).

  3. Recomendamos que deixe a política de auditoria ativada durante três a seis meses para detetar todo o software que não suporta palavras-passe com mais de 14 carateres.

  4. Monitorize os domínios de eventos do Directory-Services-SAM 16978 com sessão contra software que geriu palavras-passe durante três a seis meses. Não tem de monitorizar os eventos do Directory-Services-SAM 16978 com sessão em contas de utilizador.

    1. Se for possível, configure o software para utilizar um comprimento de palavra-passe maior.

    2. Trabalhe com o fornecedor do software para atualizar o software e utilizar palavras-passe maiores.

    3. Implementar uma política de palavras-passe recomendada para esta conta ao utilizar um valor que corresponda ao comprimento da palavra-passe utilizado pelo software.

    4. Para software que gere palavras-passe de conta, mas não utiliza automaticamente palavras-passe longas e não pode ser configurado para utilizar palavras-passe longas, pode ser utilizada uma política de palavras-passe precisa para estas contas.

  5. Quando todos os eventos do Directory-Services-SAM 16978 estiverem endereçados, ative uma palavra-passe mínima. Para tal, siga estes passos:

    1. Implementar uma versão do Windows Server que suporte a imposição em todos os DCs (incluindo Read-Only DCs).

    2. Ative a Política de Grupo RelaxMinimumPasswordLengthLimits em todos os DCs.

    3. Configure a Política de Grupo MinimumPasswordLength em todos os DCs.

Política de Grupo

Caminho da política e nome da definição, versões suportadas

Descrição

Caminho da política: Configuração do computador > Windows Definições > Segurança Definições > Conta -Política de Palavra-passe > -> Nome da definição de auditoria de comprimento de palavra-passe

mínimo: MinimumPasswordLengthAudit

Suportado em:

  • Windows 10, versão 1607

  • Windows Server 2016

  • Windows 10, versão 1809

  • Windows Server, versão 1809

  • Windows 10, versão 1903

  • Windows Server, versão 1903

  • Windows 10, versão 1909

  • Windows Server, versão 1909

  • Windows 10, versão 2004

  • Windows Server, versão 2004

  • e versões posteriores

Não é necessário reiniciar

Auditoria de comprimento de palavra-passe mínima

Esta definição de segurança determina o comprimento mínimo da palavra-passe para o qual os eventos de aviso de auditoria de comprimento de palavra-passe são emitidos. Esta definição pode ser configurada de 1 a 128.

Só deve ativar e configurar esta definição quando tentar determinar o efeito potencial de aumentar a definição de comprimento de palavra-passe mínima no seu ambiente.

Se esta definição não estiver definida, os eventos de auditoria não serão emitidos.

Se esta definição for definida e for menor ou igual à definição de comprimento de palavra-passe mínima, os eventos de auditoria não serão emitidos.

Se esta definição for definida e for superior à definição de comprimento de palavra-passe mínima e o comprimento de uma nova palavra-passe for inferior a esta definição, será emitido um evento de auditoria.

Caminho da política e nome da definição, versões suportadas

Descrição

Caminho da política: Configuração do Computador > Windows Definições > Políticas de Conta do Definições > -> Política de Palavra-passe -> Descontraia os limites de comprimento de palavra-passe mínimos

Nome da definição: RelaxMinimumPasswordLengthLimits

Suportado em:

  • Windows 10, versão 2004

  • Windows Server, versão 2004

  • e versões posteriores

Não é necessário reiniciar

Descontraia os limites mínimos de comprimento de palavra-passe legado

Esta definição controla se a definição de comprimento mínimo da palavra-passe pode ser aumentada para além do limite de 14 legado.

Se esta definição não estiver definida, o comprimento mínimo da palavra-passe pode ser configurado para não ser superior a 14.

Se esta definição estiver definida e desativada, o comprimento mínimo da palavra-passe pode ser configurado para não ser superior a 14.

Se esta definição estiver definida e ativada, o comprimento mínimo da palavra-passe pode ser configurado para mais de 14.

Para obter mais informações, consulte o https://go.microsoft.com/fwlink/?LinkId=2097191.

Caminho da política e nome da definição, versões suportadas

Descrição

Caminho da política: Configuração do computador > Windows Definições > Segurança Definições > Conta - Política de Palavra-passe > -> Comprimento de palavra-passe mínimo Nome de

definição: MinimumPasswordLength

Suportado em:

  • Windows 10, versão 2004

  • Windows Server, versão 2004

  • e versões posteriores

Não é necessário reiniciar

Esta definição de segurança determina o número mínimo de carateres que uma palavra-passe de uma conta de utilizador pode conter.

O valor máximo para esta definição depende do valor da definição Descontrair dos limites de comprimento de palavra-passe mínimos.

Se a definição Descontrair os limites mínimos de comprimento da palavra-passe não estiver definida, esta definição pode ser configurada de 0 a 14.

Se a definição Descontrair os limites mínimos de comprimento da palavra-passe estiver definida e desativada, esta definição pode ser configurada de 0 a 14.

Se a definição Descontrair os limites mínimos de comprimento da palavra-passe estiver definida e ativada, esta definição poderá ser configurada de 0 a 128.

Definir o número de carateres necessário para 0 significa que não é necessária palavra-passe.

Nota Por predefinição, os computadores membros seguem a configuração dos respetivos controladores de domínio.

Valores predefinido:

  • 7 em controladores de domínio

  • 0 em servidores aleativos

Configurar esta definição com mais de 14 pode afetar a compatibilidade com clientes, serviços e aplicações. Recomendamos que só configure esta definição com um tamanho superior a 14 depois de utilizar a definição Auditoria de comprimento de palavra-passe mínima para testar possíveis incompatibilidades na nova definição.

Windows de registo de eventos

Estão incluídas três novas mensagens de registo de ID do Evento como parte deste suporte adicionado.

ID do Evento 16977

O Evento ID 16977 será iniciado quando as definições de política MinimumPasswordLength,RelaxMinimumPasswordLengthLimitsou MinimumPasswordLengthAudit estiverem configuradas ou modificadas inicialmente na Política de Grupo. Este evento só será com sessão marcada nos DCs. O valor RelaxMinimumPasswordLengthLimits só terá sessão Windows Server, Versão 2004 e DCs da versão posterior.

Registo de eventos

Sistema

Origem do evento

Directory-Services-SAM

ID de Evento

16977

Nível

Informações

Texto da mensagem do evento

O domínio é configurado ao utilizar as seguintes definições mínimas relacionadas com o comprimento de palavra-passe.

MinimumPasswordLength:
RelaxMinimumPasswordLengthLimits:
MinimumPasswordLengthAudit:

Para obter mais informações, consulte o https://go.microsoft.com/fwlink/?LinkId=2097191.

ID do Evento 16978

O Evento ID 16978 será marcado quando uma palavra-passe da conta for alterada e a palavra-passe for inferior à definição atual MinimumPasswordLengthAudit.

Registo de eventos

Sistema

Origem do evento

Directory-Services-SAM

ID de Evento

16978

Nível

Informações

Texto da mensagem do evento

A conta seguinte está configurada para utilizar uma palavra-passe cujo comprimento é inferior à definição Atual, MínimoPasswordLengthAudit.

NomeDa Conta:
MinimumPasswordLength:
MinimumPasswordLengthAudit:

Para obter mais informações, consulte o https://go.microsoft.com/fwlink/?LinkId=2097191.

Imposição do ID do Evento 16979

O Evento com o ID 16979 será marcado quando as definições da Política de Grupo de auditoria estiverem configuradas indevidomente. Este evento só será com sessão marcada nos DCs. O valor RelaxMinimumPasswordLengthLimits só terá sessão Windows Server, Versão 2004 e DCs da versão posterior. Isto aplica-se à aplicação.

Registo de eventos

Sistema

Origem do evento

Directory-Services-SAM

ID de Evento

16979

Nível

Erro

Texto da mensagem do evento

O domínio está configurado incorretamente com uma definição minimumPasswordLength superior a 14 enquanto RelaxMinimumPasswordLengthLimits está indefinido ou desativado.

Nota Até que isto seja corrigido, o domínio vai impor uma definição de MinimumPasswordLength mais pequena de 14.
Valor MínimoPasswordLength configurado atualmente:

Para obter mais informações, consulte o https://go.microsoft.com/fwlink/?LinkId=2097191.


Auditoria do ID do Evento 16979

O Evento com o ID 16979 será marcado quando as definições da Política de Grupo de auditoria estiverem configuradas indevidomente. Este evento só será com sessão marcada nos DCs. Está incluída uma nova mensagem de registo de eventos para Auditoria como parte deste suporte adicionado.

Registo de eventos

Sistema

Origem do evento

Directory-Services-SAM

ID de Evento

16979

Nível

Erro

Texto da mensagem do evento

O domínio está configurado incorretamente com uma definição minimumPasswordLength que é superior a 14.

Nota Até que isto seja corrigido, o domínio vai impor uma definição de MinimumPasswordLength mais pequena de 14.

Valor MínimoPasswordLength configurado atualmente:

Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=2097191.

Orientação para alteração da palavra-passe de software

Utilize o comprimento máximo da palavra-passe ao definir uma palavra-passe no software.

Histórico

Apesar de a estratégia de segurança geral da Microsoft estar focada num futuro sem palavra-passe, muitos clientes não podem migrar das palavras-passe de curto para médio prazo. Alguns clientes cautelosos pretendem configurar uma definição de comprimento de palavra-passe mínima predefinida para domínios com mais de 14 carateres (por exemplo, os clientes podem fazê-lo após instruir os seus utilizadores a utilizarem frases de acesso mais longas em vez das palavras-passe de token simples tradicionais curtas). Em suporte deste pedido, as Atualizações do Windows de abril de 2018 para o Windows Server 2016 ativaram uma alteração da Política de Grupo que aumentava o comprimento mínimo da palavra-passe de 14 para 20 carateres. Enquanto esta alteração aparecia para suportar uma palavra-passe mais comprida, era por fim insuficiente e rejeitou o novo valor quando a Política de Grupo foi aplicada. Estas rejeições eram silenciosas e eram necessários testes detalhados para determinar que o sistema não suportava palavras-passe mais longas. Foi incluída uma atualização de seguimento à camada gestor de conta de segurança (SAM) para o Windows Server 2016 e para o Windows Server 2019 para permitir que o sistema funcione corretamente de uma forma ponto a ponto com um comprimento de palavra-passe mínimo superior a 14 carateres. Foi incluída uma atualização de seguimento à camada gestor de conta de segurança (SAM) para o Windows Server 2016 e para o Windows Server 2019 para permitir que o sistema funcione corretamente de uma forma ponto a ponto com um comprimento de palavra-passe mínimo superior a 14 carateres.

A definição de política MinimumPasswordLength teve um intervalo permitido entre 0 e 14 durante muito tempo (muitas só de versões) em todas as plataformas da Microsoft. Esta definição aplica-se tanto às definições de Windows locais como ao Active Directory (e a domínios NT4 antes disso). Um valor de zero (0) implica que não é necessária uma palavra-passe para qualquer conta.

Em versões anteriores do Windows, a IU da Política de Grupo não ativava a definição de comprimentos de palavra-passe mínimos necessários com mais de 14 carateres. No entanto, em abril de 2018, lançou as atualizações de Windows 10 que adicionaam suporte para mais de 14 carateres na IU da Política de Grupo como parte de atualizações como:

  • KB 4093120: 17 de abril de 2018 — KB4093120 (Comtrução do SO 14393.2214)

Esta atualização incluía o seguinte texto de nota de versão:

"Aumenta o comprimento mínimo da palavra-passe na Política de Grupo para 20 carateres."

Alguns clientes que instalaram os lançamentos de abril de 2018 e que superaram as atualizações de abril de 2018 descobriram que ainda não podiam utilizar palavras-passe com mais de 14 carateres. A investigação identificou que as atualizações adicionais necessárias para ser instaladas em computadores com funções DC que atualizam as palavras-passe de 14 carateres maiores que foram definidas na política de palavras-passe. As seguintes atualizações ativadas Windows Server 2016, Windows 10, versão 1607 e a versão inicial dos controladores de domínio do Windows 10 para inícios de sessão de serviço e pedidos de autenticação com mais de 14 carateres de palavras-passe:

  • KB 4467684: 27 de novembro de 2018 —KB4467684 (Comtrução do SO 14393.2639)

Esta atualização incluía o seguinte texto de nota de versão:

"Aborda um problema que impede os controladores de domínio de aplicarem a política de palavra-passe da Política de Grupo quando o comprimento de palavra-passe mínimo é configurado para ser superior a 14 carateres."

  • BDC 4471327: 11 de dezembro de 2018 —KB4471321 (Comtrução do SO 14393.2665)

Alguns clientes definiram uma política com mais de 14 carateres após a instalação das atualizações de abril de 2018 a outubro de 2018, que, essencialmente, permaneceram inativos até às atualizações de novembro de 2018 e dezembro de 2018 ou de um controlador de domínio nativo do SO ativado para servirem palavras-passe de 14 carateres na política, removendo assim a ligação hora/causação entre a ativação de funcionalidades e a aplicação de política. Quer tenha instalado a Política de Grupo e o controlador de domínio e as atualizações ao mesmo tempo, poderá ver os seguintes efeitos secundários:

  • Problemas expostos com aplicações atualmente incompatíveis com palavras-passe maiores que 14 carateres.

  • Expostas problemas quando domínios consistem numa combinação da versão de lançamento do Windows Server 2019 ou de DCs atualizados de 2016 que suportam mais de 14 carateres de palavras-passe e DCs pré-Windows do Server 2016 que não suportam palavras-passe superiores a 14 carateres (até existirem backports e são instalados para Windows Server 2016).

  • Após instalar a atualização KB4467684,o serviço de cluster poderá falhar ao iniciar com o erro "2245 (NERR_PasswordTooShort)" se a Política de Grupo "Comprimento Mínimo da Palavra-passe" estiver configurada com mais de 14 carateres.

    A orientação para este problema conhecido era definir a política de "Comprimento mínimo de palavra-passe" predefinida para menos ou igual a 14 carateres. Estamos a trabalhar numa resolução e forneceremos uma atualização numa versão futura.

Devido aos problemas anteriores, o suporte do lado DC para mais de 14 carateres de palavras-passe foi removido nas atualizações de janeiro de 2019, para que a funcionalidade não possa ser utilizada.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?

Obrigado pelo seu feedback!

×