Questo articolo è stato tradotto automaticamente. Per visualizzare l'articolo in inglese, selezionare la casella di controllo Inglese. È possibile anche visualizzare il testo inglese in una finestra popup posizionando il puntatore del mouse sopra il testo.
Traduzione
Inglese

La password deve soddisfare i requisiti di complessità

 

Data di pubblicazione: agosto 2016

Si applica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Questo argomento di riferimento dei criteri di sicurezza per i professionisti IT descrive le procedure consigliate, percorso, valori e considerazioni sulla sicurezza per questa impostazione di criteri.

Il le password devono soddisfare i requisiti di complessità impostazione di criterio determina se le password devono soddisfare una serie di linee guida considerate importanti per una password complessa. Attivando questa impostazione richiede che le password soddisfino i requisiti seguenti:

  1. Le password non possono contenere il valore di samAccountName (nome dell'Account) dell'utente o displayName intero (valore di nome completo). Entrambi i controlli non sono sensibili alle maiuscole.

    L'attributo samAccountName è selezionata nella sua interezza esclusivamente per determinare se fa parte della password. Se l'attributo samAccountName è minore di 3 caratteri, questo controllo viene ignorato.

    Il nome visualizzato viene analizzato per delimitatori: virgole, punti, trattini o trattini, caratteri di sottolineatura, spazi, segni di cancelletto e schede. Se viene trovato uno di questi delimitatori, è suddiviso il displayName e tutte le sezioni analizzate (token) vengono confermate non da includere nella password. Token che sono meno di tre caratteri vengono ignorati e non vengono controllate le sottostringhe di token. Ad esempio, il nome "Erin m. Hagens" viene suddiviso in tre token: "Francesco", "M" e "Leonetti". Poiché il secondo token è costituito da un solo carattere, viene ignorato. Pertanto, l'utente non potrebbe avere una password che includa "erin" o "Leonetti" come una sottostringa all'interno della password.

  2. La password contiene caratteri di tre delle categorie seguenti:

    • Lettere maiuscole di lingue europee (dalla alla Z, con segni diacritici, caratteri greco e alfabeto cirillico)

    • Lettere minuscole delle lingue europee (alla z, sharp-s, con segni diacritici, caratteri greco e alfabeto cirillico)

    • Cifre in base 10 (da 0 a 9)

    • I caratteri non alfanumerici (caratteri) (ad esempio!, $, #, %))

    • Qualsiasi carattere Unicode è stato categorizzato come carattere alfabetico ma non caratteri maiuscoli o minuscoli. Sono inclusi i caratteri Unicode dalle lingue asiatiche.

Requisiti di complessità vengono applicati quando le password vengono modificate o create.

Le regole che sono incluse nei requisiti di complessità password di Windows Server fanno parte del file Passfilt. dll, e non può essere modificati direttamente.

L'abilitazione il valore predefinito Passfilt. dll potrebbe causare alcune chiamate aggiuntive al supporto tecnico per gli account bloccato perché gli utenti potrebbero non essere utilizzate per avere password contenenti caratteri diversi da quelli di alfabeto. Tuttavia, questa impostazione è abbastanza libero che tutti gli utenti devono essere in grado di rispettare i requisiti con una curva di apprendimento secondaria.

L'utilizzo di caratteri senza righe – superiore sono impostazioni aggiuntive che possono essere inclusi in un file Passfilt. dll personalizzata. Caratteri di riga superiore sono quelli che vengono digitati tenendo premuto il tasto MAIUSC e digitando le cifre compreso tra 1 e 10.

Questa impostazione è supportata nelle versioni di Windows che sono contraddistinti di si applica a elenco all'inizio di questo argomento.

  • Enabled

  • Disabilitata

  • Non definito

Impostare le password devono soddisfare i requisiti di complessità su abilitato. Questa impostazione di criteri, combinata con una lunghezza minima di 8, assicura che vi siano almeno 218.340.105.584.896 diverse possibilità per un'unica password. In questo modo un attacco di forza bruta difficile, ma comunque non impossibile.

L'utilizzo di combinazioni di tasto ALT può migliorare notevolmente la complessità di una password. Tuttavia, che richiedono tutti gli utenti in un'organizzazione di rispettare i requisiti severi password può comportare quantità di utenti e un eccessivo dell'Help Desk. È consigliabile implementare un requisito dell'organizzazione di utilizzare caratteri ALT compresi tra 0128 tramite 0159 come parte di tutte le password di amministratore. (ALT caratteri di fuori di questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità della password).

Le password che contengono solo caratteri alfanumerici sono facili da compromettere utilizzando gli strumenti disponibili pubblicamente. Per evitare questo problema, le password devono contenere anche altri caratteri e soddisfare i requisiti di complessità.

Nome_oggetto\Computer Configuration\Windows computer\Impostazioni di Windows\Impostazioni protezione\Criteri Account\criterio

Nella tabella seguente sono elencati i valori di criteri predefiniti effettivo ed efficace per le ultime versioni supportate di Windows. I valori predefiniti sono inoltre elencati nella pagina delle proprietà del criterio.

Tipo di server o un oggetto Criteri di gruppo (GPO)

Valore predefinito

Criterio dominio predefinito

Enabled

Criterio controller di dominio predefinito

Enabled

Impostazioni predefinite del server autonomo

Disabilitata

Impostazioni predefinite efficace di controller di dominio

Enabled

Impostazioni predefinite effettivo del server membro

Enabled

Impostazioni predefinite di GPO effettive nei computer client

Disabilitata

Non esistono differenze di funzionamento di questa impostazione di criteri tra supported versions of Windows.

In questa sezione viene descritto come un utente malintenzionato potrebbe sfruttare una funzionalità o alla sua configurazione, come implementare la contromisura e le possibili conseguenze negative dell'implementazione di contromisure.

Le password che contengono solo caratteri alfanumerici sono estremamente facili da individuare con diversi strumenti disponibili pubblicamente.

Configurare il le password devono soddisfare i requisiti di complessità criteri su abilitato e consigliare agli utenti di utilizzare un'ampia gamma di caratteri nella password.

In combinazione con un lunghezza minima password di 8, questa impostazione assicura che il numero di diverse possibilità per un'unica password sia così utili che è difficile (ma non Impossibile) per un attacco di forza bruta abbia esito positivo. (Se il lunghezza minima password viene aumentato l'impostazione di criteri, aumenta anche la quantità media di tempo necessario per un attacco.)

Se è stata mantenuta la configurazione predefinita della complessità delle password, altre chiamate al supporto tecnico per gli account bloccato potrebbero verificarsi perché gli utenti potrebbero non abitualmente password contenenti caratteri non alfabetici o potrebbero avere problemi di immissione di password che contengono i caratteri accentati o simboli su tastiere con layout diversi. Tuttavia, tutti gli utenti devono essere in grado di rispettare i requisiti di complessità con semplicità.

Se l'organizzazione dispone di più severi requisiti di sicurezza, è possibile creare una versione personalizzata del file Passfilt. dll che consente l'utilizzo di password arbitrariamente complesse regole di livello. Ad esempio, un filtro password personalizzato potrebbe richiedere l'utilizzo di simboli non di righe superiore. (I simboli di riga superiore sono quelli che richiedono la premere e tenere premuto il tasto MAIUSC e quindi le cifre compreso tra 1 e 0). Un filtro password personalizzato può essere inoltre eseguita una verifica di dizionario per verificare che la password proposta non contengano parole comuni dizionario o frammenti.

L'utilizzo di combinazioni di tasto ALT può migliorare notevolmente la complessità di una password. Tuttavia, tali requisiti rigorosi password possono comportare ulteriori richieste di supporto tecnico. In alternativa, l'organizzazione può considerare un requisito per tutte le password di amministratore utilizzare caratteri ALT nell'intervallo 0128-0159. (ALT caratteri di fuori di questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità della password).

Mostra: