Sichere Kennworterzwingung und Passfilt.dll
Die Erzwingung eines starken Kennworts kann mithilfe der Systemverwaltungstools aktiviert werden. Wenn die Systemverwaltungsrichtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestanforderungen erfüllen, wenn sie erstellt oder geändert werden:
- Kennwörter dürfen nicht den Wert „SamAccountName“ (Kontoname) oder den gesamten Wert „DisplayName“ (vollständiger Name) des Benutzers enthalten. Beide Prüfungen unterscheiden nicht zwischen Groß-und Kleinschreibung.
- „SamAccountName“ wird nur vollständig geprüft, um auszuschließen, dass der Wert Teil des Kennworts ist. Wenn „SamAccountName“ weniger als drei Zeichen umfasst, wird diese Überprüfung übersprungen.
- „DisplayName“ wird auf Trennzeichen hin analysiert: Kommas, Punkte, Gedanken- oder Bindestriche, Unterstriche, Leerzeichen, Nummernzeichen und Tabstopps. Falls diese Trennzeichen gefunden werden, wird „DisplayName“ geteilt, und für alle analysierten Abschnitte (Token) wird sichergestellt, dass sie nicht im Kennwort enthalten sind. Token, die weniger als drei Zeichen umfassen, werden ignoriert, und Teilzeichenfolgen der Token werden nicht geprüft. Beispielsweise wird der Name „Erin M. Hagens“ in drei Token unterteilt: „Erin“, „M“ und „Hagens“. Da das zweite Token nur aus einem Zeichen besteht, wird es ignoriert. Somit kann dieser Benutzer kein Kennwort festgelegt, das „Erin“ oder „Hagens“ als Teilzeichenfolge an einer beliebigen Stelle im Kennwort enthält.
- Kennwörter müssen Zeichen aus drei der folgenden fünf Kategorien enthalten.
Zeichenkategorien | Beispiele |
---|---|
Großbuchstaben europäischer Sprachen (A bis Z, mit diakritischen Zeichen, griechische und kyrillische Zeichen) |
A, B, C, Z |
Kleinbuchstaben europäischer Sprachen (a bis z, ß, mit diakritischen Zeichen, griechische und kyrillische Zeichen) |
a, b, c, z |
10 Grundziffern (0 - 9) |
0, 1, 2, 9 |
Nicht alphanumerische Zeichen (Sonderzeichen) |
$,!,%,^,(){}[];:<>? |
Alle Unicode-Zeichen, die als Zeichen des Alphabets kategorisiert sind, die aber nicht Groß- oder Kleinbuchstaben sind. Dazu zählen Unicode-Zeichen asiatischer Sprachen. |
So aktivieren Sie die Erzwingung eines sicheren Kennworts
- Suchen Sie in der Verwaltungskonsole nach Lokaler Sicherheitsrichtlinie.
- Wählen Sie Kontorichtlinie und dann Kennwortrichtlinie aus.
- Aktivieren Sie die Einstellung Kennwörter müssen die Komplexitätsanforderungen erfüllen .
Hinweis
Ein bestimmtes Zeichen kann nur eine Kategorie erfüllen. Die GetStringTypeW-Funktion wird verwendet, um zu testen, ob jedes Zeichen im Kennwort Großbuchstaben, Kleinbuchstaben oder alphanumerisch ist.