检测
分析学
1.1.4 确保最小密码长度设为14或更多字符
资讯类
策略设置决定最小字符数组成用户账号密码关于如何确定组织最优密码长度方面有许多不同的理论,但也许“密码句”比“密码语”好。微软Windows2000和新版本中,密码句可长并包括空格口令有效远比8或10字符串随机数和字母强得多密码,但更容易记住用户必须接受正确选择和维持密码的教育,特别是关于密码长度的教育企业环境最短密码设置理想值14个字符,但你应调整此值以满足组织业务需求推荐状态为:14或更多字符
windows服务器2016年和老版本Windows服务器中,GUI局域安全策略编辑器LGPE和GMEG政策管理编辑器GPME不允许你设置此值高于14个字符从Windows服务器2019开始,微软修改GUI允许最长20个字符最小密码长度
注2:密码策略设置(第1.1节)和账户锁定策略设置(第1.2节)必须通过默认域策略GPO应用,才能对域用户账户产生全球效果,并视之为默认行为如果这些设置配置到另一个GPO中,则只影响计算机接收GPO的本地用户账号可使用密码设置对象定义默认密码策略和账户锁定策略规则,密码设置对象与组策略完全分离并最易使用主动目录管理中心配置
原理性:
密码攻击类型包括词典攻击(试图使用常用词句)和粗力攻击(尝试各种字符组合)。攻击者有时试图获取账号数据库,以便使用工具发现账号密码
撞击 :
极长密码需求实际上会降低组织安全性,因为用户可能把信息留在安全地点或丢失信息。需要长密码时,误型密码可能导致账号关机并增加求助台通话量组织因密码长度需求而出现被遗忘密码问题时,请考虑教用户密码句,密码句往往更容易记住,并因字符组合数较多而难发现
注:Windows98和Windows4.0等老版本不支持超过14个字符的密码计算机操作系统无法验证计算机或域名使用需要长密码的账号
求解
要通过GP建立推荐配置,请将UI路径设为14或14以上字符:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password length
默认值 :
域成员7个字符独立服务器0字符
并见
项目细节
类别 :识别和验证
引用 :800-53IA-5,CSCV74.4,CSCV7+16.2
插件 :Windows系统
控件标识符 :157f75797b4235d0182de582fb01b2000036308dda163679edd5e5b7b4ffb56a