密码必须符合复杂性要求

介绍 "密码必须满足复杂性要求" 安全策略设置的最佳做法、位置、值和安全注意事项。

参考

"密码必须满足复杂性要求" 策略设置确定密码是否必须满足一系列对强密码重要的指南。 启用此策略设置需要密码才能满足以下要求:

在更改或创建密码时, 将强制执行复杂性要求。

Windows Server 密码复杂性要求中包含的规则属于 Passfilt, 不能直接修改。

启用默认的 Passfilt 可能会导致对锁定帐户的其他帮助台呼叫, 因为用户可能不会使用包含字母表中所示字符以外的其他字符的密码。 但是, 此策略设置非常灵活, 所有用户都可以通过次要学习曲线遵守要求。

可包含在自定义 Passfilt 中的其他设置是使用非上层行字符。 较高的字符是通过按住 SHIFT 键并键入任何数字 from1 through10 所键入的字符。

可能值

最佳实践

设置密码必须满足复杂性要求才能启用。 此策略设置与 "最小密码长度 of8" 相结合, 可确保单个密码至少有218340105584896种不同的可能性。 这使得强力攻击非常困难, 但仍不可能。

使用 ALT 键字符组合可以大大提高密码的复杂程度。 但是, 要求组织中的所有用户遵守严格的密码要求可能会导致不满意的用户和极其繁忙的技术支持。 请考虑在你的组织中实现一个要求, 以使用0128到0159范围内的 ALT 字符作为所有管理员密码的一部分。 (此范围外的可选字符可以表示不会为密码增加额外复杂性的标准字母数字字符。)

仅包含字母数字字符的密码可通过公共可用工具轻松受到危害。 为防止这种情况, 密码应包含其他字符并满足复杂性要求。

位置

计算机 Configuration\Windows Settings\Security Settings\Account Policies\Password 政策

默认值

下表列出了实际和有效的默认策略值。 默认值也在策略的属性页上列出。

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

漏洞

仅包含字母数字字符的密码非常容易发现使用多个公开可用的工具。

对策

将 "密码必须满足复杂性要求" 策略设置配置为 "已启用", 并建议用户使用其密码中的各种字符。

结合使用最小密码长度8 时, 此策略设置可确保单个密码的不同可能性的数量非常大, 以至于非常困难 (但不可能), 强力攻击才能成功。 (如果 "最小密码长度" 策略设置增加, 则成功的攻击所需的平均时间也会增加。)

潜在影响

如果保留默认密码复杂性配置, 则可能会发生锁定帐户的其他支持呼叫, 因为用户可能不熟悉包含非字母字符的密码, 或者可能在输入时遇到问题包含具有不同布局的键盘上的重音字符或符号的密码。 但是, 所有用户都应能够以最少的难度满足复杂性要求。

如果您的组织具有更严格的安全要求, 则可以创建 Passfilt 文件的自定义版本, 该版本允许使用任意复杂的密码强度规则。 例如, 自定义密码筛选器可能需要使用非上层行符号。 (较高的行符号是要求您长按 SHIFT 键, 然后按1到0之间的任何数字的符号。)自定义密码筛选器还可能执行字典检查, 以验证建议的密码是否不包含常见字典单词或片段。

使用 ALT 键字符组合可以大大提高密码的复杂程度。 但是, 这种严格的密码要求可能会导致其他帮助台请求。 或者, 你的组织可以考虑对所有管理员密码的要求, 以便在0128–0159范围中使用 ALT 字符。 (此范围外的可选字符可以表示不会为密码增加额外复杂性的标准字母数字字符。)

密码不能包含用户的 samAccountName (帐户名称) 值或整个 displayName (全名)。 这两个检查不区分大小写。

将完全检查 samAccountName, 以确定它是否是密码的一部分。 如果 samAccountName 的长度小于3个字符, 将跳过此检查。 将分析 displayName 的分隔符: 逗号、句点、短划线或连字符、下划线、空格、井号和制表符。 如果找到这些分隔符中的任何一个, 则将拆分 displayName, 并且将确认所有已分析的分区 (标记) 不包含在密码中。 将忽略小于3个字符的标记, 并且不检查标记的子字符串。 例如, 名称 "Erin Hagens" 分为三个标记: "Erin"、"M" 和 "Hagens"。 由于第二个令牌的长度仅为一个字符, 因此将被忽略。 因此, 此用户在密码中的任何地方都不能包含 "erin" 或 "hagens" 作为子字符串的密码。

密码包含以下类别中的三个:

欧洲语言的大写字母 (A 到 Z, 带有音调符号标记、希腊语和西里尔文字符)欧洲语言的小写字母 (a 到 z、半高和音调符号标记、希腊语和西里尔文字符)基数10个数字 (0 到 9)非字母数字字符 (特殊字符): (~! @ # $% ^& * _-+ = "| \ (){}\ []:;" "<>,。?/) 此政策设置不会将货币符号 (如欧元或英国镑) 计为特殊字符。归类为字母字符但不大写或小写的任何 Unicode 字符。 这包括亚洲语言的 Unicode 字符。Enabled禁用未定义