Özet
Windows 10 18 Ağustos 2020 tarihinde yayımlanan güncelleştirmeler, aşağıdakiler için destek ekler:
-
Denetim Olayları, uygulama ve hizmetlerin 15 karakterli veya daha uzun parolaları destekle mi desteklemesi olduğunu belirlemek için.
-
Windows Server, sürüm 2004 etki alanı denetleyicilerinde (DC) en az 15 karakterlik veya daha fazla parola uzunluğu zorlaması.
Office 365'in desteklenen Windows
Parola uzunluklarının denetlen önceki sürümlerinde Windows. En az 15 karakterlik veya daha fazla parola uzunluğunun zorlaması Windows Server, sürüm 2004 ve sonraki Windows.
|
Windows sürümü |
KB |
Destek |
|
Windows 10, sürüm 2004 |
Yayımlanan sürüme dahil |
Zorlama |
|
Windows 10, sürüm 1909 |
Denetim |
|
|
Windows 10, sürüm 1903 |
Denetim |
|
|
|
Denetim |
|
|
Windows 10 Sürüm 1607 |
Denetim |
Önerilen dağıtım
|
Etki Alanı Denetleyicileri |
İş Istasyonu |
|
|
Denetleme: Parola kullanımını yalnızca en düşük değerin altında denetlemeye devam ediyorsanız, aşağıdaki gibi dağıtın. |
Denetimin istenen olduğu tüm desteklenen DC'lerde güncelleştirmeleri dağıtın. |
Yeni Grup İlkesi ayarları için desteklenen yönetim iş istasyonlarında güncelleştirmeleri dağıtın. Güncelleştirilmiş Grup İlkelerini dağıtmak için bu iş istasyonlarını kullanın. |
|
Zorlama: Minimum uzunlukta parola zorlaması tercih edilirse, aşağıdaki gibi dağıtın. |
Windows Sunucu, sürüm 2004 DC'ler. Tüm DC'ler bu sürümde veya daha sonraki bir sürümde olmalı. Ek güncelleştirme gerekmez. |
Windows 10 2004 sürümünü kullanın. Zorlamaya yeni Grup İlkesi ayarları bu sürümde yer almaktadır. Güncelleştirilmiş Grup İlkelerini dağıtmak için bu iş istasyonlarını kullanın. |
Dağıtım yönergeleri
Minimum Parola Uzunluğu denetimi ve zorlaması için destek eklemek için şu adımları izleyin:
-
Güncelleştirmeyi tüm Etki Alanı Denetleyicilerinde Windows desteklenen tüm sürümlerde dağıtın.
-
Etki Alanı Denetleyicisi: Güncelleştirmeler ve sonraki güncelleştirmeler, 14 karakterden büyük parolalar kullanmak üzere yapılandırılmış kullanıcı veya hizmet hesaplarının kimliğini doğrulamak için tüm PC'lerde desteği etkinleştirin.
-
Yönetim iş istasyonu: Yeni Grup İlkesi ayarlarının BILGISAYARLARA uygulanmasına izin vermek için güncelleştirmeleri yönetim iş istasyonlarına dağıtın.
-
-
Uzun süre gerekli parolaların istenen olduğu bir etki alanında veya orman üzerinde MinimumPasswordLengthAudit Grup İlkesi ayarını etkinleştirin. Bu ilke ayarı, varsayılan etki alanı denetleyicisinin, etki alanı denetleyicileri kuruluş birimine (OU) bağlı ilkesinde etkinleştirilmelidir.
-
14 karakterden büyük parolaları desteklemeen tüm yazılımları algılamak için denetim ilkesi'nin 3 - altı ay süreyle etkinleştirilmesi önerilir.
-
Üç ile altı ay arasında parolaları yöneten yazılımla günlüğe kaydedilen Directory-Services-SAM 16978 etkinlikleri için etki alanlarını takip edin. Kullanıcı hesaplarında günlüğe kaydedilen Dizin-Hizmetler-SAM 16978 olaylarını izlemezsiniz.
-
Mümkünse, yazılımı daha uzun bir parola uzunluğu kullanmak üzere yapılandırabilirsiniz.
-
Yazılımı daha uzun parolalar kullanmak üzere güncelleştirmek için yazılım satıcısıyla birlikte çalışabilirsiniz.
-
Yazılım tarafından kullanılan parola uzunluğuna uygun bir değer kullanarak bu hesap için daha ince bir parola ilkesi dağıtın.
-
Hesap parolalarını yöneten ancak uzun parolaları otomatik olarak kullanmayan ve uzun parolaları kullanmak üzere yapılandırılan yazılımlarda, bu hesaplar için ince bir parola ilkesi kullanılabilir.
-
-
Tüm Directory-Services-SAM 16978 olaylarında adres sağlandıktan sonra, minimum parolayı etkinleştirin. Bunu yapmak için şu adımları izleyin:
-
Tüm PC'lerde (Windows DC'ler de içinde) zorlamayı destekleyen bir Read-Only dağıtın.
-
Tüm DC'lerde RelaxMinimumPasswordLengthLimits Grup İlkesi'ni etkinleştirin.
-
Tüm DC'lerde MinimumPasswordLength Grup İlkesi'ni yapılandırma.
-
Grup İlkesi
|
İlke yolu ve ayar adı, desteklenen sürümler |
Açıklama |
|
İlke yolu: Bilgisayar Yapılandırması > Windows Ayarlar > Hesap Ayarlar > İlkeleri -> Parola İlkesi -> Minimum parola uzunluğu denetimi Destek tarihi:
Yeniden başlatma gerekmez |
Minimum parola uzunluğu denetimi Bu güvenlik ayarı, hangi parola uzunluğu denetim uyarısı olaylarına ilişkin en düşük parola uzunluğunun çıkarı olduğunu belirler. Bu ayar 1 ile 128 arasında yapılandırılmış olabilir. Bu ayarı yalnızca ortamınız içinde minimum parola uzunluğu ayarını artırmaya yönelik olası etkiyi belirlemeye deneseniz ve yapılandırsanız gerekir. Bu ayar tanımlanmamışsa, denetim olayları issue olmaz. Bu ayar tanımlanmışsa ve en düşük parola uzunluğu ayarına eşit veya daha küçükse, denetim olayları issue olmaz. Bu ayar tanımlanmışsa ve en düşük parola uzunluğu ayarından büyükse ve yeni hesap parolasının uzunluğu bu ayardan küçükse, bir denetim olayı olur. |
|
İlke yolu ve ayar adı, desteklenen sürümler |
Açıklama |
|
İlke yolu: Bilgisayar Yapılandırması > Windows Ayarlar > Güvenlik Ayarlar > İlkeleri -> Parola İlkesi -> Minimum parola uzunluğu sınırlarını Destek tarihi:
Yeniden başlatma gerekmez |
Minimum parola uzunluğu eski sınırları rahatlayın Bu ayar, en düşük parola uzunluğu ayarının eski 14 sınırdan daha fazla artırılabilir olup olmadığını kontrol eder. Bu ayar tanımlanmazsanız, parola uzunluğunun en az 14'ü geçmeyebilirsiniz. Bu ayar tanımlanmış ve devre dışı bırakılmışsa, parola uzunluğunun en az 14'ü olmayacak şekilde yalıtılabilir. Bu ayar tanımlanmış ve etkinse, parola uzunluğunun en düşük uzunluğu 14'ü aşıyor olabilir. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=2097191. |
|
İlke yolu ve ayar adı, desteklenen sürümler |
Açıklama |
|
İlke yolu: Bilgisayar Yapılandırması > Windows Ayarlar > Güvenlik Ayarlar > İlkeleri -> Parola İlkesi -> Minimum parola uzunluğu Destek tarihi:
Yeniden başlatma gerekmez |
Bu güvenlik ayarı, kullanıcı hesabı için parolada yer alan en az sayıda karakteri belirler. Bu ayarın en yüksek değeri, Minimum parola uzunluğu sınırlarını uzat ayarının değerine bağlıdır. Minimum parola uzunluğu sınırlarını rahatla ayarı tanımlanmsa bu ayar 0 ile 14 arasında yapılandırıldı olabilir. Minimum parola uzunluğu sınırlarını rahatla ayarı tanımlanmış ve devre dışı bırakılmışsa, bu ayar 0 ile 14 arasında yapılandırılabilir. Minimum parola uzunluğu sınırlarını rahatla ayarı tanımlanmış ve etkinse, bu ayar 0 -128 arasında yapılandırıldı olabilir. Gerekli karakter sayısını 0 olarak ayarlarsanız parola gerekmez. Not Varsayılan olarak, üye bilgisayarlar kendi etki alanı denetleyicilerinin yapılandırmasını takip eder. Varsayılan değerler:
Bu ayarın 14'den büyük yapılandırılması, istemciler, hizmetler ve uygulamalarla uyumluluğu etkileyebilir. Yeni ayarda olası uyumsuzlukları test etmek için Minimum parola uzunluğu denetim ayarını kullandıktan sonra yalnızca 14'den büyük bir ayar yapılandırmanız önerilir. |
Windows günlüğü iletilerini gönderme
Bu eklenen desteğin bir parçası olarak üç yeni Olay Kimliği günlüğü mesajı eklenmiştir.
Olay Kimliği 16977
MinimumPasswordLength, RelaxMinimumPasswordLengthLimits veya MinimumPasswordLengthLimitsveya MinimumPasswordLengthAudit ilke ayarları ilk başta Grup İlkesi içinde yapılandırıldığında veya değiştirildiğinde, Olay Kimliği 16977 günlüğe kaydedilir. Bu etkinlik yalnızca PC'lerde günlüğe kaydedilir. RelaxMinimumPasswordLengthLimits değeri, yalnızca Windows Server, Sürüm 2004 ve sonraki sürüm DC'lerde günlüğe kaydedilir.
|
Olay günlüğü |
Sistem |
|
Olay kaynağı |
Directory-Services-SAM |
|
Olay Kimliği |
16977 |
|
Düzey |
Bilgi |
|
Olay iletisi metni |
Etki alanı, parola uzunluğuyla ilgili en az ayarlar kullanılarak yapılandırılır. MinimumPasswordLength: Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Olay Kimliği 16978
Bir hesap parolası değiştiri olduğunda ve parola geçerli MinimumPasswordLengthAudit ayarından kısa olduğunda, Olay Kimliği 16978 günlüğe kaydedilir.
|
Olay günlüğü |
Sistem |
|
Olay kaynağı |
Directory-Services-SAM |
|
Olay Kimliği |
16978 |
|
Düzey |
Bilgi |
|
Olay iletisi metni |
Aşağıdaki hesap, uzunluğu geçerli MinimumPasswordLengthAudit ayarından daha kısa olan bir parola kullanmak üzere yapılandırılmıştır. AccountName: Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Olay Kimliği 16979 Zorlama
Denetim Grup İlkesi ayarları yanlış yapılandırıldında Olay Kimliği 16979 günlüğe kaydedilir. Bu etkinlik yalnızca PC'lerde günlüğe kaydedilir. RelaxMinimumPasswordLengthLimits değeri, yalnızca Windows Server, Sürüm 2004 ve sonraki sürüm DC'lerde günlüğe kaydedilir. Bu, enforcment için.
|
Olay günlüğü |
Sistem |
|
Olay kaynağı |
Directory-Services-SAM |
|
Olay Kimliği |
16979 |
|
Düzey |
Hata |
|
Olay iletisi metni |
Etki alanı yanlış şekilde 14'den büyük bir MinimumPasswordLength ayarıyla yapılandırılmışken, RelaxMinimumPasswordLengthLimits tanımlanmamış veya devre dışı bırakılmıştır.
Not Bu düzeltinceye kadar, etki alanı 14 olarak daha küçük bir MinimumPasswordLength ayarını zorunlu tutar. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Olay Kimliği 16979 Denetimi
Denetim Grup İlkesi ayarları yanlış yapılandırıldında Olay Kimliği 16979 günlüğe kaydedilir. Bu etkinlik yalnızca PC'lerde günlüğe kaydedilir. Bu eklenen desteğin bir parçası olarak Denetim'e yeni bir olay günlüğü iletisi eklenmiştir.
|
Olay günlüğü |
Sistem |
|
Olay kaynağı |
Directory-Services-SAM |
|
Olay Kimliği |
16979 |
|
Düzey |
Hata |
|
Olay iletisi metni |
Etki alanı, 14'den büyük bir MinimumPasswordLength ayarıyla yanlış yapılandırılmıştır. Not Bu düzeltinceye kadar, etki alanı 14olarak daha küçük bir MinimumPasswordLength ayarını zorunlu tutar. Şu anda yapılandırılmış olan MinimumPasswordLength değeri: Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=2097191. |
Yazılım parola değişikliği kılavuzu
Yazılımda parola ayarlarken maksimum parola uzunluğunu kullanın.
Geçmiş
Genel Microsoft güvenlik stratejisi daha az parola kullanımına odaklansa da, birçok müşteri kısa - orta vadeli olarak parolalardan uzaklaşamaz. Güvenliği öneme sahip bazı müşteriler, 14 karakterden uzun varsayılan bir etki alanı minimum parola uzunluğu ayarı yapılandırmak ister (örneğin, müşteriler bunu, kullanıcılarını geleneksel kısa, tek belirteçli parolalar yerine daha uzun geçiş tümceleri kullanmaya eğitdikten sonra kullanabilir). Bu isteğin destek Windows Windows Server 2016 için Nisan 2018'de yapılan grup güncelleştirmeleri, parola uzunluğunun en az 14 karakterden 20 karaktere artırılmış olduğu bir Grup İlkesi değişikliğini etkinleştirdi. Bu değişiklik daha uzun parolayı desteklemeye çalışırken, Grup İlkesi uygulandığında yeni değer yetersiz kalıyordu ve reddedildi. Bu reddetmeler sessizdir ve sistemin daha uzun parolaları destekleme olmadığını belirlemek için ayrıntılı test gerektirmektedir. Sistemin 14 karakterden daha uzun parola uzunluğu en düşük olan 24 karakterden daha uzun bir parola uzunluğuyla doğru çalışmasına olanak sağlamak amacıyla, hem Windows Server 2016 hem de Windows Server 2019 için Güvenlik Hesabı Yöneticisi (SAM) katmanına bir izleme güncelleştirmesi ek edildi. Sistemin 14 karakterden daha uzun parola uzunluğu en düşük olan 24 karakterden daha uzun bir parola uzunluğuyla doğru çalışmasına olanak sağlamak amacıyla, hem Windows Server 2016 hem de Windows Server 2019 için Güvenlik Hesabı Yöneticisi (SAM) katmanına bir izleme güncelleştirmesi ek edildi.
MinimumPasswordLength ilke ayarı, tüm Microsoft platformlarında çok uzun süre (birçok on iki tane) boyunca izin verilebilir bir aralığı (0 - 14 arasında) vardı. Bu ayar hem yerel güvenlik ayarları Windows Active Directory (hem de NT4 etki alanları için daha önce geçerlidir) için geçerlidir. Sıfır (0) değeri, herhangi bir hesap için parola gerek olmadığını ima eder.
Grup İlkesi kullanıcı arabirimi Windows, gerekli en az parola uzunluğu 14 karakterden uzun olacak şekilde ayarlamayı etkinleştirmedi. Ancak Nisan 2018'de, güncelleştirmelerin bir parçası olarak Grup İlkesi kullanıcı arabiriminde 14 karakterden daha fazla destek ekli Windows 10 güncelleştirmelerini yayımladık:
-
KB 4093120: 17 Nisan 2018— KB4093120 (işletim sistemi derlemesi 14393.2214)
Bu güncelleştirme aşağıdaki sürüm notu metnini de içerir:
"Grup İlkesi'nin parola uzunluğunu en az 20 karaktere artırır."
Nisan 2018 yayınlarını yüklüyor ve güncelleştirmelerin yerine başka güncelleştirmeler yüklemiş olan bazı müşteriler, yine de 14 karakterli parolaları kullanamıyorlar. araştırma, parola ilkesinde tanımlanan 14 karakterden daha uzun parolalara hizmet verecek olan DC rolü bilgisayarlarına ek güncelleştirmelerin yüklenmeleri gerektiğini belirledi. Aşağıdaki güncelleştirmeler Windows Server 2016, Windows 10, sürüm 1607 ve Windows 10 etki alanı denetleyicilerinin 14 karakterden büyük olan hizmet oturum açma ve kimlik doğrulama istekleri için ilk sürümü etkinleştirilmiştir:
-
KB 4467684: 27 Kasım 2018— KB4467684 (işletim sistemi derlemesi 14393.2639)
Bu güncelleştirme aşağıdaki sürüm notu metnini de içerir:
"Minimum parola uzunluğu 14 karakterden büyük olacak şekilde yapılandırıldığında etki alanı denetleyicilerinin Grup İlkesi parola ilkesi uygulamasını engelleyen bir sorunu karşılar."
-
KB 4471327: 11 Aralık 2018— KB4471321 (işletim sistemi derlemesi 14393.2665)
Bazı müşteriler Nisan 2018'den Ekim 2018 güncelleştirmelerine kadar ilkede 14 karakterlik parolalardan daha büyük bir parola tanımlamış; bu sayede özellik etkinleştirme ve ilke uygulaması arasındaki süre / neden çıkarma bağlantısı kaldırılarak özellik etkinleştirme ve ilke uygulaması arasındaki süre / neden çıkarma bağlantısı kaldırıldı. Hem Grup İlkesi'ne hem de etki alanı denetleyicisi güncelleştirmelerini aynı anda yükleseniz de yüklemeseniz de, aşağıdaki yan etkilere bakabilirsiniz:
-
Şu anda 14 karakterden büyük parolalarla uyumlu olmayan uygulamalarla ilgili açık sorunlar.
-
Windows Server 2019'un sürüm sürümünün bir karışımından oluşan veya 14 karakterden büyük parolaları ve önceden Windows Server 2016 DC'lerini destekleyen güncelleştirilmiş 2016 DC'lerden oluşan etki alanlarında (backports var ve Windows Server 2016 için yüklü olana kadar) ortaya çıkacak sorunlar.
-
KB4467684yükledikten sonra, "En Az Parola Uzunluğu" Grup İlkesi "En Az Parola Uzunluğu" 14 karakterden büyük bir şekilde yapılandırıldıysanız, küme hizmeti "2245 (NERR_PasswordTooShort)" hatasıyla başlaymayabilirsiniz.
Bu bilinen sorunun kılavuzu, etki alanı varsayılan "En Az Parola Uzunluğu" ilkesine 14 karakterden küçük veya buna eşit olacak şekilde ayarlamaktır. Çözüm üzerinde çalışıyoruz ve sonraki bir sürümde güncelleştirme sağlayacağız.
Önceki sorunlar nedeniyle, Ocak 2019 güncelleştirmesinde 14 karakterden büyük parolalar için DC tarafı desteği kaldırıldı, dolayısıyla özellik kullanılamaz.
