Пароль должен соответствовать требованиям к сложности

Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Пароль должен соответствовать требованиям к сложности.

Справочные материалы

Параметр политики Пароль должен соответствовать требованиям к сложности определяет, требуется ли соответствие пароля ряду инструкций, обеспечивающих его надежность. После включения этого параметра политики пароли должны соответствовать следующим требованиям.

  1. Пароль не может содержать относящееся к пользователю значение samAccountName (имя учетной записи) или полное значение displayName (полное имя). Оба значения проверяются без учета регистра.

    Значение samAccountName проверяется только на предмет его присутствия в пароле в полной форме. Если значение samAccountName насчитывает менее трех символов, эта проверка пропускается.

    Значение displayName проверяется на наличие разделителей: запятые, точки, тире, дефисы, символы подчеркивания, пробелы, знаки фунта, знаки табуляции. Если обнаруживается какой-либо из этих разделителей, значение displayName анализируется по частям (маркерам) — проверяется наличие каждой такой части в пароле. Маркеры, содержащие менее трех символов, игнорируются, и соответствующие подстроки не проверяются. Например, имя «Erin M. Hagens» разделяется на три маркера: «Erin», «M» и «Hagens». Поскольку второй маркер состоит только из одного символа, он пропускается. Таким образом, для этого пользователя запрещается пароль, содержащий в какой-либо своей части подстроку «erin» или «hagens».

  2. Пароль должен содержать символы трех категорий, перечисленных ниже.

    • Прописные буквы европейских языков (от A до Z, с диакритическими знаками, греческими символами и символами кириллицы)

    • Строчные буквы европейских языков (от a до z, эсцет, с диакритическими знаками, греческими символами и символами кириллицы)

    • Основные 10 цифр (от 0 до 9)

    • Символы, отличные от буквенно-цифровых (специальные знаки, например !, $, #, %)

    • Любые символы Юникода, относящиеся к буквенным, но не являющиеся прописными или строчными. К ним также относятся символы Юникода из азиатских языков.

Требования к сложности применяются при изменении и создании паролей.

Правила, на основе которых составляются требования к сложности паролей для Windows Server, входят в библиотеку Passfilt.dll и не предусматривают прямого изменения.

После включения Passfilt.dll по умолчанию может увеличиться число обращений в службу технической поддержки с вопросами о разблокировке учетных записей, так как не все пользователи сразу привыкнут к паролям, содержащим не только обычные буквы. Однако этот параметр политики достаточно нестрогий — пользователи, как правило, начинают правильно выполнять его требования после недолгого периода ознакомления.

Дополнительные параметры, которые можно включать в настраиваемую библиотеку Passfilt.dll, касаются использования символов, не относящихся к знакам верхнего ряда. Знаки верхнего ряда — это знаки, которые набираются удерживанием клавиши SHIFT и нажатием какой-либо клавиши с цифрой от 1 до 10.

Возможные значения

  • Включено

  • Отключено

  • Не определено

Рекомендации

Установите для параметра Пароль должен соответствовать требованиям к сложности значение «Включено». Этот параметр политики, в сочетании с минимальной длиной пароля в 8 символов, гарантирует по меньшей мере 218 340 105 584 896 возможных вариантов такого пароля. Это сделает атаку методом подбора сложной, хотя и не невозможной.

Использование символов с применением клавиши ALT может существенно усложнить пароль. Однако, если потребовать от всей организации использования такого сложного пароля, вполне вероятно, что возникнет недовольство среди пользователей и возрастет нагрузка на службу технической поддержки. Советуем ввести в организации требование использовать символы с применением клавиши ALT и цифр в диапазоне от 0128 до 0159 для всех паролей администраторов. (Символы, которые набираются с помощью клавиши ALT и цифр вне данного диапазона, могут оказаться обычными буквенно-цифровыми символами, которые никак не усложнят пароль.)

Пароли, содержащие только буквенно-цифровые символы, легко подобрать с помощью общедоступных средств. Чтобы избежать этого, пароли должны содержать дополнительные символы и отвечать требованиям к сложности.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию

Политика домена по умолчанию

Включено

Политика контроллера домена по умолчанию

Включено

Параметры автономного сервера по умолчанию

Отключено

Действующие параметры контроллера домена по умолчанию

Включено

Действующие параметры рядового сервера по умолчанию

Включено

Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах

Отключено

 

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию и как следует применять меры противодействия. Также приводятся сведения о возможных отрицательных последствиях реализации этих мер.

Уязвимость

Пароли, содержащие только буквенно-цифровые символы, очень легко подобрать с помощью общедоступных средств.

Меры противодействия

Установите для параметра Пароль должен соответствовать требованиям к сложности значение «Включено» и попросите пользователей включать в свои пароли различные типы символов.

В сочетании с Минимальной длиной пароля в 8 символов этот параметр политики гарантирует настолько большое число возможных вариантов пароля, что взломать его с помощью атаки методом подбора будет крайне сложно (хотя и не невозможно). (Если параметр политики Минимальная длина пароля имеет большее значение, соответственно увеличивается и время, необходимое в среднем для взлома).

Возможные последствия

Если сохранить используемое по умолчанию требование к сложности пароля, может увеличиться число обращений в службу технической поддержки с вопросами о разблокировке учетных записей, так как не все пользователи сразу привыкнут к паролям, содержащим не только обычные буквы, либо у пользователей будут возникать трудности при вводе символов с ударением или символов на клавиатурах с другими раскладками. Однако, как правило, у пользователей не возникает особых проблем с выполнением требований к сложности.

Если в вашей организации установлены более жесткие правила безопасности, можно создать настраиваемую версию файла Passfilt.dll, которая позволит применять индивидуальные требования к сложности пароля. Например, можно установить пользовательский фильтр для паролей, требующий использования символов, не относящихся к знакам верхнего ряда. (Знаки верхнего ряда — это знаки, которые набираются удерживанием клавиши SHIFT и нажатием какой-либо клавиши с цифрой от 1 до 0.) Также возможен пользовательский фильтр, проверяющий, не содержит ли пароль обычные слова или части слов из словаря.

Использование символов с применением клавиши ALT может существенно усложнить пароль. Однако применение таких жестких требований к паролям может привести к увеличению обращений в службу технической поддержки. Как вариант, в организации можно ввести требование использовать символы с применением клавиши ALT и цифр в диапазоне от 0128 до 0159 для всех паролей администраторов. (Символы, которые набираются с помощью клавиши ALT и цифр вне данного диапазона, могут оказаться обычными буквенно-цифровыми символами, которые никак не усложнят пароль.)

Связанные разделы

Политика паролей