Аудит и правоприменение минимальной длины паролей для некоторых версий Windows
Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions Еще. Меньше
Сводка
Windows 10 обновления, выпущенные 18 августа 2020 г., поддерживают следующие:
- События аудита, чтобы определить, поддерживают ли приложения и службы 15- или более длинные пароли.
- На контроллерах доменов Windows Server версии 2004 (DCS) должен быть пароль длиной не менее 15 символов.
Поддерживаемые версии Windows
Аудит длины паролей поддерживается в следующих версиях Windows. Минимальная длина пароля не менее 15 символов поддерживается в Windows Server версии 2004 и более поздних Windows.
Версия Windows
Windows 10, версия 2004 Windows
Server 2004
Включено в выпущенную версию
Windows 10, версия 1909 Windows
Server 1909
Windows 10, версия 1903 Windows
Server версии 1903
Windows 10, версия 1809 Windows Server version 1809
Windows Server 2019
Windows 10 версии 1607 Windows Server 2016
Рекомендуемая развертывание
Контроллеры доменов
Административные рабочие станции
Аудита: Если при аудите использования паролей меньше минимального значения, выполните развертывание следующим образом.
Развертывание обновлений на всех поддерживаемых DCS, для которых требуется аудит.
Развертывание обновлений на поддерживаемых административных рабочих станциях для новых параметров групповой политики. Используйте эти рабочие станции для развертывания обновленных групповых политик.
Исполнения: Если требуется вводить пароль минимальной длины, развернем его следующим образом.
Windows Сервер, DCS версии 2004. Все компьютеры должны быть в этой или более поздней версии. Дополнительных обновлений не требуется.
Используйте Windows 10 версии 2004. В эту версию включены новые параметры групповой политики для обеспечения соблюдения. Используйте эти рабочие станции для развертывания обновленных групповых политик.
Рекомендации по развертыванию
Чтобы добавить поддержку аудита и принудительных действий по минимальной длине паролей, выполните указанные здесь действия.
- Развертывание обновления для всех поддерживаемых Windows на всех контроллерах доменов.
- Контроллер домена. Обновления и последующие обновления обеспечивают поддержку на всех компьютерах с windows для проверки подлинности учетных записей пользователей или служб, настроенных для использования более 14-символьных паролей.
- Административная рабочая станция: разместите обновления на административных рабочих станциях, чтобы разрешить применение новых параметров групповой политики к DCS.
- Если возможно, настройте в программном обеспечении более длинную длину паролей.
- Работайте с поставщиком программного обеспечения, чтобы обновить программное обеспечение для использования длинных паролей.
- Развернйте для этой учетной записи тонкая политика паролей, используя значение, которое соответствует длине пароля, используемой программным обеспечением.
- Для программного обеспечения, которое управляет паролями учетных записей, но не использует длинные пароли автоматически и не может быть настроено для использования длинных паролей, для этих учетных записей можно использовать тонкая политика паролей.
- Разместим версию Windows Server, которая поддерживает их применимый к всем DCs (включая Read-Only DCs).
- Включить групповую политику RelaxMinimumPasswordLengthLimits на всех DCS.
- Настройте групповую политику MinimumPasswordLength на всех DCs.
Групповая политика
Путь политики и имя параметра, поддерживаемые версии
Путь политики: Computer Configuration > Windows Параметры > Security Параметры > Account Policies -> Password Policy -> Minimum Password Length
Audit Setting name: MinimumPasswordLengthAudit
Поддерживается в:
- Windows 10 версии 1607
- Windows Server 2016
- Windows 10 версии 1809
- Windows Server, версия 1809
- Windows 10 версии 1903
- Windows Сервер, версия 1903
- Windows 10 версии 1909
- Windows Сервер, версия 1909
- Windows 10 версии 2004
- Windows Server, версия 2004
- и более поздние версии
Перезапуск не требуется
Аудит минимальной длины паролей
Этот параметр безопасности определяет минимальную длину пароля, для которой выпускаются события аудита длины пароля. Этот параметр может быть настроен с 1 до 128.
Этот параметр следует включить и настроить только при попытке определить возможный эффект увеличения минимальной длины пароля в вашей среде.
Если этот параметр не определен, события аудита не выпускаются.
Если этот параметр определен и меньше или равен минимальной длине пароля, события аудита не выпускаются.
Если этот параметр задан и больше минимальной длины пароля и длина нового пароля учетной записи меньше этого параметра, будет выдано событие аудита.
Путь политики и имя параметра, поддерживаемые версии
Путь политики: Конфигурация компьютера > Windows Параметры > политики безопасности Параметры > учетных записей -> политика паролей -> Удалите минимальные ограничения длины паролей
Setting name: RelaxMinimumPasswordLengthLimits
Поддерживается в:
- Windows 10 версии 2004
- Windows Server, версия 2004
- и более поздние версии
Перезапуск не требуется
Отдохнуть от устаревших ограничений на минимальную длину паролей
Этот параметр управляет тем, можно ли увеличить минимальную длину пароля после 14 устаревших параметров.
Если этот параметр не определен, минимальная длина пароля может быть не больше 14.
Если этот параметр определен и отключен, минимальная длина пароля может быть не больше 14.
Если этот параметр определен и включен, минимальная длина пароля может быть настроена более 14.
Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 .
Путь политики и имя параметра, поддерживаемые версии
Путь политики: Computer Configuration > Windows Параметры > Security Параметры > Account Policies -> Password Policy -> Minimum Password Length
Setting name: MinimumPasswordLength
Поддерживается в:
- Windows 10 версии 2004
- Windows Server, версия 2004
- и более поздние версии
Перезапуск не требуется
Этот параметр безопасности определяет наименьшее количество символов, которые может содержать пароль для учетной записи пользователя.
Максимальное значение для этого параметра зависит от значения ограничения минимальной длины пароля «Отдых».
Если не определено ограничение минимальной длины пароля Для отдыха, этот параметр может быть настроен от 0 до 14.
Если определено и отключено ограничение минимальной длины паролей «Расслабьтесь», этот параметр может быть настроен от 0 до 14.
Если определено и включено ограничение минимальной длины паролей «Расслабьтесь», этот параметр может быть настроен от 0 до 128.
Если необходимое количество знаков задайте 0, пароль не потребуется.
Примечание По умолчанию компьютеры членов группы должны следовать конфигурации контроллеров доменов.
Значения по умолчанию:
- 7 на контроллерах доменов
- 0 на автономных серверах
Настройка этого параметра больше 14 может повлиять на совместимость с клиентами, службами и приложениями. Мы рекомендуем настроить этот параметр больше 14 после использования параметра «Минимальная длина пароля» для проверки на совместимость с новым параметром.
Windows сообщений журнала событий
В рамках этой добавленной поддержки добавлены три новых сообщения журнала ид событий.
ИД события 16977
Код события 16977 регистрируется, когда параметры политики MinimumPasswordLength, RelaxMinimumPasswordLengthLimitsили MinimumPasswordLengthAudit изначально настроены или изменены в групповой политике. Это событие будет регистрироваться только на DCS. Значение RelaxMinimumPasswordLengthLimits будет регистрироваться только в Windows Server, версии 2004 и более поздней версии.
Текст сообщения о событии
Домен настроен с помощью следующих минимальных параметров, связанных с длиной пароля:
MinimumPasswordLength:
RelaxMinimumPasswordLengthLimits:
MinimumPasswordLengthAudit:Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 .
ИД события 16978
Код события 16978 регистрируется при смене пароля учетной записи, а пароль короче текущего параметра MinimumPasswordLengthAudit.
Текст сообщения о событии
В следующей учетной записи используется пароль, длина которого меньше текущего параметра MinimumPasswordLengthAudit.
AccountName:
MinimumPasswordLength:
MinimumPasswordLengthAudit:Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 .
Event ID 16979 Enforcement
ИД события 16979 регистрируется при неправильной настройке параметров групповой политики аудита. Это событие будет регистрироваться только на DCS. Значение RelaxMinimumPasswordLengthLimits будет регистрироваться только в Windows Server, версия 2004 и более поздние версии. Это для принудительного выполнения.
Текст сообщения о событии
В домене неправильно настроен параметр MinimumPasswordLength, который больше 14, в то время как параметр RelaxMinimumPasswordLengthLimits неопределен или отключен.
Примечание Пока этот параметр не будет исправлен, в домене будет применяться меньший параметр MinimumPasswordLength (14).
В настоящее время настроено значение MinimumPasswordLength:Дополнительные сведения см. вhttps://go.microsoft.com/fwlink/?LinkId=2097191 .
Аудит событий 16979
ИД события 16979 регистрируется при неправильной настройке параметров групповой политики аудита. Это событие будет регистрироваться только на DCS. В рамках этой добавленной поддержки для аудита добавляется одно новое сообщение журнала событий.
Текст сообщения о событии
В домене неправильно настроен параметр MinimumPasswordLength, который больше 14.
Примечание До тех пор, пока этот параметр не будет исправлен, в домене будет применяться меньший параметр MinimumPasswordLength ( 14).
В настоящее время настроено значение MinimumPasswordLength:
Руководство по изменению пароля программного обеспечения
Используйте максимальную длину пароля при установке пароля в программном обеспечении.
«Журнал»
Хотя общая стратегия безопасности Майкрософт строго ориентирована на будущее без паролей, многие клиенты не могут перейти от паролей в кратко-средний срок. Некоторые клиенты с вопросами безопасности хотят настроить минимальную длину пароля домена по умолчанию, которая превышает 14 символов (например, клиенты могут сделать это после того, как поместят пользователей в длинные пароли вместо традиционных коротких однотонных паролей). В поддержку этого запроса Windows обновления в апреле 2018 г. для Windows Server 2016 включили изменение групповой политики, увеличив минимальную длину пароля с 14 до 20 символов. Хотя это изменение оказалось для поддержки более длинных паролей, в конечном итоге было недостаточно и отклонено новое значение при применении групповой политики. Эти отказы были без комментариев и требуют подробного тестирования, чтобы определить, что система не поддерживает длинные пароли. Для Windows Server 2016 и Windows Server 2019 было включено обновление до уровня Диспетчера учетных записей безопасности (SAM), чтобы обеспечить правильную работу системы с минимальной длиной пароля более 14 символов. Для Windows Server 2016 и Windows Server 2019 было включено обновление до уровня Диспетчера учетных записей безопасности (SAM), чтобы обеспечить правильную работу системы с минимальной длиной пароля более 14 символов.
Параметр политики MinimumPasswordLength имеет допустимый диапазон от 0 до 14 в течение очень долгого времени (много разных вариантов) на всех платформах Майкрософт. Этот параметр применяется как к локальным Windows безопасности, так и к доменам Active Directory (и доменам NT4). Ноль (0) означает, что для какой-либо учетной записи не требуется пароль.
В более ранних версиях Windows пользовательский интерфейс групповой политики не включает настройку минимальной длины пароля длиной более 14 символов. Однако в апреле 2018 г. мы выпустили обновления Windows 10, которые добавили поддержку более 14 символов в пользовательском интерфейсе групповой политики в составе таких обновлений, как:
- KB 4093120: 17 апреля 2018 г. — KB4093120 (сборка ОС 14393.2214)
Это обновление содержит следующий текст заметки о выпуске:
«Увеличивает минимальную длину пароля в групповой политике до 20 символов».
Некоторые клиенты, которые установили выпуски за апрель 2018 г. и новые обновления, обнаружили, что им по-прежнему не удалось использовать более 14-символьных паролей. В ходе исследования было установлено, что на компьютерах с ролями DC, обслуживающих более 14-знаки паролей, определенных в политике паролей, необходимо установить дополнительные обновления. Включены следующие обновления Windows Server 2016, Windows 10, версии 1607, а также первоначальный выпуск контроллеров домена Windows 10 для входа в службу и запросов на проверку подлинности с более чем 14-символьными паролями:
- KB 4467684: 27 ноября 2018 г. — KB4467684 (сборка ОС 14393.2639)
Это обновление содержит следующий текст заметки о выпуске:
«Устранение проблемы, которая не позволяет контроллерам доменов применять политику паролей групповой политики, если минимальная длина пароля превышает 14 символов».
- KB 4471327: 11 декабря 2018 г. — KB4471321 (сборка ОС 14393.2665)
После установки обновлений с апреля 2018 г. по октябрь 2018 г. некоторые клиенты установили в политике более 14 паролей, которые фактически оставались неавторьными до обновлений за ноябрь 2018 г. и декабрь 2018 г., или контроллеры доменных имен, включенные в ос, для обслуживания более 14-знака паролей, что приводит к удалению связи времени и причинности между включенными функциями и приложением политики. Независимо от того, обновлялись ли вы одновременно с групповой политикой и контроллером домена, вы можете увидеть следующие побочные эффекты:
- Выявлены проблемы с приложениями, которые в настоящее время несовместимы с более чем 14-символными паролями.
- Выявлены проблемы, когда домены, которые состоят из сочетания выпусков Windows Server 2019 или обновленных DCS 2016, которые поддерживают более 14-знаки паролей и готовых DCS Windows Server 2016, которые не поддерживают более 14-символьных паролей (до тех пор, пока не будут установлены и установлены для Windows Server 2016).
- После установки KB4467684служба кластеров может не начаться с ошибки «2245 (NERR_PasswordTooShort)», если в групповой политике установлена минимальная длина пароля длиной более 14 символов. В этой известной проблеме указана политика минимальной длины пароля по умолчанию не более 14 символов. Мы работаем над решением этой проблемы и предоставим обновление в ближайшем выпуске.
Из-за предыдущих проблем поддержка более 14-знака паролей была удалена в обновлениях за январь 2019 г., что не позволяет использовать эту функцию.
Источник: https://support.microsoft.com/ru-ru/topic/%D0%B0%D1%83%D0%B4%D0%B8%D1%82-%D0%B8-%D0%BF%D1%80%D0%B0%D0%B2%D0%BE%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BC%D0%B8%D0%BD%D0%B8%D0%BC%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B9-%D0%B4%D0%BB%D0%B8%D0%BD%D1%8B-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9-%D0%B4%D0%BB%D1%8F-%D0%BD%D0%B5%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D1%8B%D1%85-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D0%B9-windows-5ef7fecf-3325-f56b-cc10-4fd565aacc59Минимальная длина пароля
В этой статье описываются рекомендуемые методики, расположение, значения, управление политиками и рекомендации по обеспечению безопасности для параметра политики безопасности минимальной длины пароля .
Справочные материалы
Параметр политики Минимальная длина пароля определяет наименьшее количество символов, которые могут составлять пароль для учетной записи пользователя. Можно задать значение от 1 до 14 символов или установить, что пароль не требуется, задав для числа символов значение 0.
Возможные значения
- Указанное пользователем число символов в диапазоне от 0 до 14
- Не определено
Рекомендации
Присвойте минимальной длине пароля значение не менее 8. Если для числа символов задано значение 0, пароль не требуется. В большинстве сред рекомендуется использовать пароль из восьми символов, так как он достаточно длинный, чтобы обеспечить достаточную безопасность, и по-прежнему достаточно короткий, чтобы пользователи легко запоминали. Минимальная длина пароля больше 14 в настоящее время не поддерживается. Это значение поможет обеспечить адекватную защиту от атаки методом подбора. Добавление требований к сложности поможет снизить вероятность атаки по словарю. Дополнительные сведения см. в статье Пароль должен соответствовать требованиям к сложности.
Разрешение коротких паролей снижает безопасность, так как короткие пароли можно легко сломать с помощью средств, которые выполняют словарные или методы подбора атак против паролей. Требование длинных паролей может привести к неправильному вводу паролей, что может привести к блокировке учетных записей и увеличить объем обращений в службу поддержки.
Кроме того, требование длинных паролей может фактически снизить безопасность организации, так как пользователи могут с большей вероятностью записывать свои пароли, чтобы избежать их забвения. Тем не менее, если пользователи учатся, что они могут использовать парольные фразы (предложения, такие как «Я хочу выпить $ 5 молочный коктейль»), они должны быть гораздо больше шансов запомнить.
Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики (GPO) Значение по умолчанию Политика домена по умолчанию Семь символов Политика контроллера домена по умолчанию Не определено Параметры по умолчанию для автономного сервера Ноль символов Действующие параметры по умолчанию для контроллера домена Семь символов Действующие параметры по умолчанию для рядового сервера Семь символов Действующие параметры GPO по умолчанию на клиентских компьютерах Ноль символов Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Необходимость перезапуска
Нет. Изменения этой политики вступает в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповая политика.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Типы атак по паролю включают атаки по словарю (которые пытаются использовать распространенные слова и фразы) и атаки методом подбора (которые пытаются использовать все возможные сочетания символов). Кроме того, злоумышленники иногда пытаются получить базу данных учетных записей, чтобы использовать средства для обнаружения учетных записей и паролей.
Противодействие
Настройте для параметра политики минимальная длина пароля значение 8 или более. Если для числа символов задано значение 0, пароль не потребуется.
В большинстве сред мы рекомендуем использовать пароль из восьми символов, так как он достаточно длинный, чтобы обеспечить достаточную безопасность, но не слишком трудно запоминать. Эта конфигурация обеспечивает адекватную защиту от атак методом подбора. Использование параметра политики «Пароль» должно соответствовать требованиям к сложности в дополнение к параметру Минимальная длина пароля помогает снизить вероятность атаки по словарю.
В некоторых юрисдикциях установлены юридические требования к длине пароля в рамках установления правил безопасности.
Возможное влияние
Требования к длинным паролям могут фактически снизить безопасность организации, так как пользователи могут оставить информацию в незащищенном расположении или потерять ее. Если требуются длинные пароли, неправильно введенные пароли могут привести к блокировке учетных записей и увеличению количества обращений в службу поддержки. Если в вашей организации возникли проблемы с забытыми паролями из-за требований к длине паролей, рассмотрите возможность обучения пользователей парольным фразам, которые часто легче запомнить, а из-за большого количества сочетаний символов гораздо труднее обнаружить.
Связанные статьи
- Политика паролей
Источник: https://learn.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/minimum-password-lengthПароль должен соответствовать требованиям к сложности
Содержит описание рекомендаций, расположения, значений и соображений безопасности параметра политики безопасности Пароль должен соответствовать требованиям к сложности.
Справочные материалы
Параметр политики Пароль должен соответствовать требованиям к сложности определяет, должны ли пароли соответствовать ряду правил для надежных паролей. Если этот параметр включен, пароли должны удовлетворять следующим требованиям:
- Пароли не могут содержать значение samAccountName пользователя (имя учетной записи) или полное значение displayName (полное имя). Ни один из этих проверок не учитывает регистр. Параметр samAccountName проверяется в полном объеме только для того, чтобы определить, является ли параметр частью пароля. Если параметр samAccountName имеет длину менее трех символов, эта проверка пропускается. Параметр displayName анализируется на наличие разделителей: запятых, точек, тире или дефисов, подчеркиваний, пробелов, знаков фунта и табуляций. Если какой-либо из этих разделителей найден, параметр displayName разделяется, и подтверждается, что все проанализированные разделы (маркеры) не будут включены в пароль. Маркеры короче трех символов игнорируются, а подстроки маркеров не проверяются. Например, имя «Erin M. Hagens» разделяется на три маркера: «Erin», «M» и «Hagens». Так как второй маркер всего один символ в длину, он игнорируется. Таким образом, у этого пользователя не может быть пароля, который включает «erin» или «hagens» в качестве подстроки в любом месте пароля.
- Пароль содержит символы из трех следующих категорий.
- Буквы верхнего регистра европейских языков (от A до Z, буквы с диакритическими знаками, греческие и кириллические знаки)
- Буквы нижнего регистра европейских языков (от a до z, эсцет, буквы с диакритическими знаками, греческие и кириллические знаки)
- Базовые 10 цифр (от 0 до 9)
- Небукенно-цифровые символы (специальные символы): ([email protected]#$%^&*_-+=’|\()<>[]:;»<>. /) Символы валюты, такие как евро или британский фунт, не учитываются в качестве специальных символов для этого параметра политики.
- Любой символ Юникода, классифицируемый как цифра или буква, но не в верхнем или нижнем регистре. Эта группа включает символы Юникода из азиатских языков.
Требования к сложности применяются при смене или создании паролей.
Правила, включенные в требования к сложности паролей Windows Server, входят в passfilt.dll и не могут быть изменены напрямую.
Если эта возможность включена, стандартный passfilt.dll может привести к увеличению звонков в службу поддержки по поводу заблокированных учетных записей, так как пользователи привыкли к паролям, содержащим только символы из алфавита. Но этот параметр политики достаточно свободный, чтобы все пользователи к этому привыкли.
Другие параметры, которые можно включить в пользовательский passfilt.dll, — это использование символов не в верхней строке. Чтобы ввести символы верхней строки, удерживайте клавишу SHIFT и нажмите одну из клавиш в строке цифр клавиатуры (от 1 до 9 и 0).
Возможные значения
- Enabled
- Отключено
- Не определено
Рекомендации
Последние рекомендации см. в Руководстве по паролям.
Включите параметр Пароль должен соответствовать требованиям к сложности. Этот параметр политики в сочетании с минимальной длиной пароля в 8 символов гарантирует, что есть как минимум 159 238 157 238 528 сочетаний для одного пароля. Этот параметр усложняет атаку методом подбора, но она не становится невозможной.
Использование сочетаний с клавишей ALT может значительно повысить сложность пароля. Однако, если требовать, чтобы все пользователи в организации соблюдали такие строгие требования к паролям, это может привести к недовольству пользователей и перегруженности службы поддержки. Рассмотрите возможность реализации в организации требование использовать ALT-символы в диапазоне от 0128 до 0159 во всех паролях администраторов. (ALT-символы за пределами этого диапазона могут представлять стандартные буквы и цифры, которые не усложняют пароль.)
Короткие пароли, содержащие только буквы и цифры, легко скомпрометировать с помощью общедоступных средств. Чтобы избежать эту уязвимость, пароли должны содержать прочие символы и/или соответствовать требованиям к сложности.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики (GPO) Значение по умолчанию Политика домена по умолчанию Включено Политика контроллера домена по умолчанию Включено Параметры по умолчанию для автономного сервера Отключено Действующие параметры по умолчанию для контроллера домена Включено Действующие параметры по умолчанию для рядового сервера Включено Действующие параметры GPO по умолчанию на клиентских компьютерах Отключено Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Пароли, содержащие только буквы и цифры, легко раскрыть с помощью нескольких общедоступных средств.
Противодействие
Настройте для параметра политики Пароль должен соответствовать требованиям к сложности значение Включено и советуйте пользователям использовать в паролях различные символы.
В сочетании с параметром Минимальная длина пароля со значением 8, этот параметр политики гарантирует, что число различных вариантов для одного пароля настолько велико, что его трудно (но возможно) успешно атаковать методом подбора. (При увеличении параметра политики минимальной длины пароля также увеличивается среднее время, необходимое для успешной атаки.)
Возможное влияние
Если конфигурация по умолчанию для сложности пароля сохранена, может вырасти количество вызовов службы поддержки от владельцев заблокированных учетных записей, так как пользователи, возможно, не привыкли к паролям, содержащим не алфавитные символы, либо у них могут возникнуть проблемы при вводе паролей, содержащих буквы с акцентными символами или символы на клавиатурах с разными раскладками. Однако все пользователи должны иметь возможность выполнять требования к сложности с минимальной сложностью.
Если в вашей организации предъявляются более строгие требования к безопасности, вы можете создать настраиваемую версию файла Passfilt.dll, которая позволяет использовать произвольно сложные правила обеспечения безопасности паролей. Например, для настраиваемого фильтра паролей может потребоваться использовать символы не из верхней строки. (Символы верхней строки — это символы, для набора который требуется нажать и удерживать клавишу SHIFT, а затем нажать любую из клавиш в строке цифр на клавиатуре, от 1 до 9 и 0.) Настраиваемый фильтр паролей также может выполнить проверку словаря, чтобы убедиться, что предложенный пароль не содержит распространенные слова или фрагменты таких слов.
Использование сочетаний с клавишей ALT может значительно повысить сложность пароля. Однако такие строгие требования к паролям могут привести к росту количества запросов в службу поддержки. Кроме того, ваша организация может рассмотреть требование использовать ALT-символы в диапазоне 0128–0159 для всех паролей администраторов. (ALT-символы за пределами этого диапазона могут представлять стандартные буквы и цифры, которые не усложняют пароль.)
Связанные статьи
- Политика паролей
Источник: https://learn.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements