Пароль должен соответствовать требованиям к сложности
Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Пароль должен соответствовать требованиям к сложности.
Справочные материалы
Параметр политики Пароль должен соответствовать требованиям к сложности определяет, требуется ли соответствие пароля ряду инструкций, обеспечивающих его надежность. После включения этого параметра политики пароли должны соответствовать следующим требованиям.
Пароль не может содержать относящееся к пользователю значение samAccountName (имя учетной записи) или полное значение displayName (полное имя). Оба значения проверяются без учета регистра.
Значение samAccountName проверяется только на предмет его присутствия в пароле в полной форме. Если значение samAccountName насчитывает менее трех символов, эта проверка пропускается.
Значение displayName проверяется на наличие разделителей: запятые, точки, тире, дефисы, символы подчеркивания, пробелы, знаки фунта, знаки табуляции. Если обнаруживается какой-либо из этих разделителей, значение displayName анализируется по частям (маркерам) — проверяется наличие каждой такой части в пароле. Маркеры, содержащие менее трех символов, игнорируются, и соответствующие подстроки не проверяются. Например, имя «Erin M. Hagens» разделяется на три маркера: «Erin», «M» и «Hagens». Поскольку второй маркер состоит только из одного символа, он пропускается. Таким образом, для этого пользователя запрещается пароль, содержащий в какой-либо своей части подстроку «erin» или «hagens».
Пароль должен содержать символы трех категорий, перечисленных ниже.
Прописные буквы европейских языков (от A до Z, с диакритическими знаками, греческими символами и символами кириллицы)
Строчные буквы европейских языков (от a до z, эсцет, с диакритическими знаками, греческими символами и символами кириллицы)
Основные 10 цифр (от 0 до 9)
Символы, отличные от буквенно-цифровых (специальные знаки, например !, $, #, %)
Любые символы Юникода, относящиеся к буквенным, но не являющиеся прописными или строчными. К ним также относятся символы Юникода из азиатских языков.
Требования к сложности применяются при изменении и создании паролей.
Правила, на основе которых составляются требования к сложности паролей для Windows Server, входят в библиотеку Passfilt.dll и не предусматривают прямого изменения.
После включения Passfilt.dll по умолчанию может увеличиться число обращений в службу технической поддержки с вопросами о разблокировке учетных записей, так как не все пользователи сразу привыкнут к паролям, содержащим не только обычные буквы. Однако этот параметр политики достаточно нестрогий — пользователи, как правило, начинают правильно выполнять его требования после недолгого периода ознакомления.
Дополнительные параметры, которые можно включать в настраиваемую библиотеку Passfilt.dll, касаются использования символов, не относящихся к знакам верхнего ряда. Знаки верхнего ряда — это знаки, которые набираются удерживанием клавиши SHIFT и нажатием какой-либо клавиши с цифрой от 1 до 10.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
Установите для параметра Пароль должен соответствовать требованиям к сложности значение «Включено». Этот параметр политики, в сочетании с минимальной длиной пароля в 8 символов, гарантирует по меньшей мере 218 340 105 584 896 возможных вариантов такого пароля. Это сделает атаку методом подбора сложной, хотя и не невозможной.
Использование символов с применением клавиши ALT может существенно усложнить пароль. Однако, если потребовать от всей организации использования такого сложного пароля, вполне вероятно, что возникнет недовольство среди пользователей и возрастет нагрузка на службу технической поддержки. Советуем ввести в организации требование использовать символы с применением клавиши ALT и цифр в диапазоне от 0128 до 0159 для всех паролей администраторов. (Символы, которые набираются с помощью клавиши ALT и цифр вне данного диапазона, могут оказаться обычными буквенно-цифровыми символами, которые никак не усложнят пароль.)
Пароли, содержащие только буквенно-цифровые символы, легко подобрать с помощью общедоступных средств. Чтобы избежать этого, пароли должны содержать дополнительные символы и отвечать требованиям к сложности.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Политика домена по умолчанию |
Включено |
Политика контроллера домена по умолчанию |
Включено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Отключено |
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию и как следует применять меры противодействия. Также приводятся сведения о возможных отрицательных последствиях реализации этих мер.
Уязвимость
Пароли, содержащие только буквенно-цифровые символы, очень легко подобрать с помощью общедоступных средств.
Меры противодействия
Установите для параметра Пароль должен соответствовать требованиям к сложности значение «Включено» и попросите пользователей включать в свои пароли различные типы символов.
В сочетании с Минимальной длиной пароля в 8 символов этот параметр политики гарантирует настолько большое число возможных вариантов пароля, что взломать его с помощью атаки методом подбора будет крайне сложно (хотя и не невозможно). (Если параметр политики Минимальная длина пароля имеет большее значение, соответственно увеличивается и время, необходимое в среднем для взлома).
Возможные последствия
Если сохранить используемое по умолчанию требование к сложности пароля, может увеличиться число обращений в службу технической поддержки с вопросами о разблокировке учетных записей, так как не все пользователи сразу привыкнут к паролям, содержащим не только обычные буквы, либо у пользователей будут возникать трудности при вводе символов с ударением или символов на клавиатурах с другими раскладками. Однако, как правило, у пользователей не возникает особых проблем с выполнением требований к сложности.
Если в вашей организации установлены более жесткие правила безопасности, можно создать настраиваемую версию файла Passfilt.dll, которая позволит применять индивидуальные требования к сложности пароля. Например, можно установить пользовательский фильтр для паролей, требующий использования символов, не относящихся к знакам верхнего ряда. (Знаки верхнего ряда — это знаки, которые набираются удерживанием клавиши SHIFT и нажатием какой-либо клавиши с цифрой от 1 до 0.) Также возможен пользовательский фильтр, проверяющий, не содержит ли пароль обычные слова или части слов из словаря.
Использование символов с применением клавиши ALT может существенно усложнить пароль. Однако применение таких жестких требований к паролям может привести к увеличению обращений в службу технической поддержки. Как вариант, в организации можно ввести требование использовать символы с применением клавиши ALT и цифр в диапазоне от 0128 до 0159 для всех паролей администраторов. (Символы, которые набираются с помощью клавиши ALT и цифр вне данного диапазона, могут оказаться обычными буквенно-цифровыми символами, которые никак не усложнят пароль.)