Пароль должен соответствовать требованиям к сложностиPassword must meet complexity requirements

Область примененияApplies to

  • Windows 10Windows 10

В этой статье описаны рекомендации, расположение, значения и рекомендации по обеспечению безопасности для пароля, которые должны соответствовать параметрам политики безопасности " требования к сложности ".Describes the best practices, location, values, and security considerations for the Password must meet complexity requirements security policy setting.

Справочные материалыReference

Параметр политики " пароли должны отвечать требованиям сложности " определяет, должны ли пароли соответствовать наборам правил для надежного пароля.The Passwords must meet complexity requirements policy setting determines whether passwords must meet a series of strong-password guidelines. Если этот параметр включен, для этого параметра требуются пароли, удовлетворяющие указанным ниже требованиям.When enabled, this setting requires passwords to meet the following requirements:

  1. Пароли могут не содержать значения samAccountName (имя учетной записи) пользователя или полное имя (значение полного имени).Passwords may not contain the user's samAccountName (Account Name) value or entire displayName (Full Name value). Оба чека не чувствительны к регистру.Both checks are not case sensitive.

    SamAccountName задается целиком только для того, чтобы определить, является ли он частью пароля.The samAccountName is checked in its entirety only to determine whether it is part of the password. Если значение samAccountName меньше трех знаков, эта проверка пропускается.If the samAccountName is fewer than three characters long, this check is skipped. DisplayName анализируется для разделителей: запятые, точки, дефисы и дефисы, знаки подчеркивания, пробелы, знаки решетки и табуляции.The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. Если обнаружено какое-либо из этих разделителей, выделено значение displayName и все проанализированные разделы (лексемы) не будут включены в пароль.If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed not to be included in the password. Маркеры, которые короче трех знаков, игнорируются, а подстроки маркеров не проверяются.Tokens that are shorter than three characters are ignored, and substrings of the tokens are not checked. Например, имя "Erin M. hagens" разделяется на три маркера: "erin", "M" и "Havens".For example, the name "Erin M. Hagens" is split into three tokens: "Erin", "M", and "Havens". Так как вторая лексема состоит только из одного символа, она игнорируется.Because the second token is only one character long, it is ignored. Таким образом, этот пользователь не может иметь пароль, который включает в себя слово "ухмылка" или "hagens" в качестве подстроки в любом месте пароля.Therefore, this user could not have a password that included either "grin" or "hagens" as a substring anywhere in the password.

  2. Пароль включает в себя символы трех из следующих категорий:The password contains characters from three of the following categories:

    • Прописные буквы в европейских языках (от A до Z с диакритическими знаками, греческими и кириллицы)Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters)
    • Строчные буквы европейских языков (от a до z, с четкими знаками диакритических знаков, греческих и кириллицы)Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters)
    • Десятичные цифры (от 0 до 9).Base 10 digits (0 through 9)
    • Символы, отличные от алфавитно-цифровых (специальные знаки): (~! @ # $% ^& * -+ = ' | \ \ () {} \ []:; " <>,.? /) Денежные символы, такие как знак евро или британской, не учитываются как специальные символы для этого параметра политики.Non-alphanumeric characters (special characters): (~!@#$%^&*-+=`|\(){}[]:;"'<>,.?/) Currency symbols such as the Euro or British Pound aren't counted as special characters for this policy setting.
    • Любой символ Юникода, отнесенный к категории алфавита, но не является прописной или строчной.Any Unicode character that's categorized as an alphabetic character but isn't uppercase or lowercase. В этой группе есть символы Юникод из азиатских языков.This group includes Unicode characters from Asian languages.

Требования к сложности применяются при изменении или создании паролей.Complexity requirements are enforced when passwords are changed or created.

Правила, включенные в требования к сложности пароля Windows Server, являются частью Passfilt.dll и их нельзя изменить напрямую.The rules that are included in the Windows Server password complexity requirements are part of Passfilt.dll, and they cannot be directly modified.

Если этот флажок установлен, Passfilt.dll по умолчанию может вызвать некоторые дополнительные звонки в службу поддержки для заблокированных учетных записей, так как они не используются в паролях, которые содержат символы, не входящие в алфавит.When enabled, the default Passfilt.dll may cause some additional Help Desk calls for locked-out accounts because users aren't used to passwords that contain characters that aren't in the alphabet. Но этот параметр политики достаточно широк, и все пользователи должны будут использовать его.But this policy setting is liberal enough that all users should get used to it.

Дополнительные параметры, которые можно включить в настраиваемый Passfilt.dll, — это использование символов, не являющихся верхними строками.Additional settings that can be included in a custom Passfilt.dll are the use of non–upper-row characters. Чтобы ввести символы верхнего уровня, удерживайте нажатой клавишу SHIFT и нажимайте одну из клавиш в строке "номер" клавиатуры (от 1 до 9 и от 0).To type upper-row characters, you hold the SHIFT key and press one of any of the keys on the number row of the keyboard (from 1 through 9 and 0).

Возможные значенияPossible values

  • EnabledEnabled
  • ОтключеноDisabled
  • Не определеноNot defined

РекомендацииBest practices

Совет

Последние рекомендации приведены в разделе рекомендации по выбору паролей.For the latest best practices, see Password Guidance.

Настройка паролей должна отвечать требованиям сложности , чтобы включить их.Set Passwords must meet complexity requirements to Enabled. Этот параметр политики в сочетании с минимальной длиной пароля, равным 8, гарантирует наличие по крайней мере 218 340 105 584 896 различных возможностей для одного пароля.This policy setting, combined with a minimum password length of 8, ensures that there are at least 218,340,105,584,896 different possibilities for a single password. Этот параметр делает трудную атакускую, но по-прежнему невозможна.This setting makes a brute force attack difficult, but still not impossible.

Использование сочетаний клавиш ALT может значительно повысить сложность пароля.The use of ALT key character combinations can greatly enhance the complexity of a password. Тем не менее, если требуется, чтобы все пользователи в Организации соответствовали таким требованиям строгого пароля, это может привести к несчастливым пользователям и интерактивной службе поддержки.However, requiring all users in an organization to adhere to such stringent password requirements can result in unhappy users and an over-worked Help Desk. Вы можете реализовать требование в Организации, чтобы использовать знаки ALT в диапазоне от 0128 до 0159 в составе всех паролей администратора.Consider implementing a requirement in your organization to use ALT characters in the range from 0128 through 0159 as part of all administrator passwords. (Символы ALT за пределами этого диапазона могут представлять стандартные буквенно-цифровые символы, которые не добавляют к паролю дополнительную сложность.)(ALT characters outside of that range can represent standard alphanumeric characters that do not add additional complexity to the password.)

Пароли, содержащие только алфавитно-цифровые символы, легко взнадежны с помощью общедоступных средств.Passwords that contain only alphanumeric characters are easy to compromise by using publicly available tools. Чтобы не допустить этого, пароли должны содержать дополнительные символы и соблюдать требования к сложности.To prevent this, passwords should contain additional characters and meet complexity requirements.

LocationLocation

Политика Configuration\Windows Settings\Security Settings\Account Policies\PasswordComputer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Значения по умолчаниюDefault values

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики.The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики (GPO)Server type or Group Policy Object (GPO) Значение по умолчаниюDefault value
Политика домена по умолчаниюDefault domain policy ВключеноEnabled
Политика контроллера домена по умолчаниюDefault domain controller policy ВключеноEnabled
Параметры по умолчанию отдельного сервераStand-alone server default settings ОтключеноDisabled
Действующие параметры по умолчанию для контроллера доменаDomain controller effective default settings ВключеноEnabled
Действующие параметры по умолчанию для рядового сервераMember server effective default settings ВключеноEnabled
Действующие параметры GPO по умолчанию на клиентских компьютерахEffective GPO default settings on client computers ОтключеноDisabled

Вопросы безопасностиSecurity considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

УязвимостьVulnerability

Пароли, содержащие только алфавитно-цифровые символы, очень легко найти с помощью нескольких общедоступных средств.Passwords that contain only alphanumeric characters are extremely easy to discover with several publicly available tools.

ПротиводействиеCountermeasure

Настройка пароля должна отвечать параметрам политики "включить требования сложности" и рекомендует пользователям использовать различные символы в своих паролях.Configure the Passwords must meet complexity requirements policy setting to Enabled and advise users to use a variety of characters in their passwords.

Если в сочетании указана Минимальная длина пароля в 8, этот параметр политики гарантирует, что количество различных возможностей для одного пароля будет очень выгодным (но не невозможным) для успешной атаки методом грубой силы.When combined with a Minimum password length of 8, this policy setting ensures that the number of different possibilities for a single password is so great that it is difficult (but not impossible) for a brute force attack to succeed. (При увеличении политики минимальной длины пароля также увеличивается среднее время, необходимое для успешной атаки.)(If the Minimum password length policy setting is increased, the average amount of time necessary for a successful attack also increases.)

Возможное влияниеPotential impact

Если конфигурация сложность пароля по умолчанию сохраняется, дополнительные возможности службы поддержки для заблокированных учетных записей могут возникать из-за того, что пользователи не могут использовать пароли, содержащие символы, отличные от алфавитов, или при вводе паролей, содержащих диакритические знаки или символы, на клавиатуре с разными макетами.If the default password complexity configuration is retained, additional Help Desk calls for locked-out accounts could occur because users might not be accustomed to passwords that contain non-alphabetical characters, or they might have problems entering passwords that contain accented characters or symbols on keyboards with different layouts. Тем не менее, все пользователи должны удовлетворять требованиям сложности с минимальными проблемами.However, all users should be able to comply with the complexity requirement with minimal difficulty.

Если ваша организация имеет более строгие требования к безопасности, вы можете создать пользовательскую версию файла Passfilt.dll, которая позволит использовать произвольно сложные правила надежности паролей.If your organization has more stringent security requirements, you can create a custom version of the Passfilt.dll file that allows the use of arbitrarily complex password strength rules. Например, для настраиваемого фильтра паролей может потребоваться использование символов, не являющихся верхними строками.For example, a custom password filter might require the use of non-upper-row symbols. (Символы верхнего регистра — это те, для которых требуется нажать и удерживать клавишу SHIFT, а затем нажмите любую клавишу в строке номер клавиатуры, от 1 до 9 и от 0 до нуля.) Настраиваемый фильтр пароля также может выполнить проверку словаря, чтобы убедиться, что предлагаемый пароль не содержит слова общего словаря или фрагменты.(Upper-row symbols are those that require you to press and hold the SHIFT key and then press any of the keys on the number row of the keyboard, from 1 through 9 and 0.) A custom password filter might also perform a dictionary check to verify that the proposed password does not contain common dictionary words or fragments.

Использование сочетаний клавиш ALT может значительно повысить сложность пароля.The use of ALT key character combinations can greatly enhance the complexity of a password. Тем не менее, такие требования жестким паролем могут привести к дополнительным запросам службы поддержки.However, such stringent password requirements can result in additional Help Desk requests. Кроме того, ваша организация может считать требованием для всех паролей администратора использовать замещающий символы в диапазоне 0128 – 0159.Alternatively, your organization could consider a requirement for all administrator passwords to use ALT characters in the 0128–0159 range. (Замещающий символ за пределами этого диапазона может представлять стандартные буквенно-цифровые символы, к которым не будет добавлена дополнительная сложность пароля.)(ALT characters outside of this range can represent standard alphanumeric characters that would not add additional complexity to the password.)

Связанные статьиRelated articles