Bagikan melalui


Kata sandi dan frasa sandi Windows LAPS

Pelajari tentang bagaimana kata sandi dan frasa sandi dibuat untuk Windows Local Administrator Password Solution (Windows LAPS).

Gambaran Umum

Tujuan utama Windows LAPS secara teratur memutar kata sandi akun Windows lokal. Penting untuk memahami bagaimana Windows LAPS menghasilkan kata sandi acak (atau frasa sandi acak).

Set karakter kata sandi

Windows LAPS mendukung lima pengaturan kompleksitas berbeda yang dapat digunakan untuk menghasilkan kata sandi acak. Pengaturan kebijakan PasswordComplexity digunakan untuk memilih set karakter mana yang digunakan saat membuat kata sandi.

Pengaturan PasswordComplexity Deskripsi Set karakter
1 Huruf besar "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
2 Huruf besar + huruf kecil "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

"abcdefghijklmnopqrstuvwxyz"
3 Huruf besar + huruf kecil + angka "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

"abcdefghijklmnopqrstuvwxyz"

"0123456789"
4 Huruf besar + huruf kecil + angka + khusus "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

"abcdefghijklmnopqrstuvwxyz"

"0123456789"

",.-+;! #&@{}[]$/()%"
5 Huruf besar + huruf kecil + angka (keterbacaan yang ditingkatkan) "ABCDEFGHJKLMNPRSTUVWXYZ"

"abcdefghijkmnpqrstuvwxyz"

"23456789"

"!#%+@:=?*"

Ketika pengaturan kompleksitas dengan beberapa set karakter dipilih, Windows LAPS memastikan bahwa kata sandi yang dihasilkan berisi setidaknya satu karakter yang dipilih secara acak dari setiap set karakter.

Panjang kata sandi dikontrol menggunakan pengaturan kebijakan PasswordLength. Kata sandi yang dibuat oleh Windows LAPS panjangnya default menjadi 14 karakter, dan dapat dikonfigurasi untuk berada di mana saja dari panjang 8-64 karakter.

Pengaturan kompleksitas kata sandi lima setara dengan pengaturan kompleksitas kata sandi empat, dengan modifikasi berikut yang dilakukan untuk meningkatkan keterbacaan dan menghindari kebingungan. Perbedaan antara pengaturan empat dan pengaturan lima adalah sebagai berikut:

  • Menghapus huruf 'I', 'O', 'Q', 'l', dan 'o'
  • Menghapus angka '0' dan '1'
  • Menghapus simbol ',', '.', '&', '{', '}', '[', ']', '(', ')', dan ';'
  • Menambahkan simbol ':', '=', '?', dan '*'

Penting

Pengaturan PasswordComplexity '5' hanya didukung di Rilis Windows 11 24H2, Windows Server 2025 dan yang lebih baru. Tidak diperlukan untuk menyebarkan pengontrol domain Windows Server 2025 untuk menggunakan pengaturan baru ini.

Daftar kata frasa sandi

Windows LAPS mendukung tiga pengaturan kompleksitas berbeda yang dapat digunakan untuk menghasilkan frasa sandi acak. Pengaturan kebijakan PasswordComplexity digunakan untuk memilih daftar kata mana yang digunakan saat membuat frasa sandi:

Pengaturan PasswordComplexity Deskripsi Jumlah kata dalam daftar
6 Kata-kata panjang 7776
7 Kata-kata pendek 1276
8 Kata-kata pendek dengan awalan unik 1276

Panjang frasa sandi dikontrol menggunakan pengaturan kebijakan PassphraseLength. Frasa sandi yang dibuat oleh Windows LAPS default ke enam kata panjangnya, dan dapat dikonfigurasi untuk berada di mana saja dari tiga hingga 10 istilah panjangnya. Karakter pertama dari setiap kata selalu dikapitalisasi untuk peningkatan keterbacaan. Tidak ada tanda baca atau karakter pembagian lainnya yang digunakan di antara kata-kata.

Contoh frase sandi yang dibuat dengan enam kata yang diambil dari daftar "Kata panjang":

SkiingProduceIdentifyStarlitOctaneDistress

Daftar kata frasa sandi diambil dari "Deep Dive: EFF's New Wordlists for Random Passphrases" oleh Electronic Frontier Foundation, dan digunakan di bawah lisensi Atribusi CC-BY-3.0. Konten spesifik dari semua daftar kata frasa sandi Windows LAPS dapat diunduh dari Daftar Kata Frasa Sandi Windows LAPS. Microsoft membuat sedikit modifikasi pada daftar kata asli; semua perubahan dirinci dalam daftar yang dapat diunduh.

Penting

Dukungan frase sandi Windows LAPS hanya didukung di Windows 11 24H2, Windows Server 2025 dan rilis yang lebih baru. Tidak diperlukan untuk menyebarkan pengontrol domain Windows Server 2025 untuk menggunakan pengaturan baru ini.

Pertimbangan entropi

Windows LAPS membuat kata sandi dan frasa sandi yang benar-benar acak (tidak ada bias manusia yang dimungkinkan). Oleh karena itu, mudah untuk menghitung bit entropi yang dihasilkan untuk kata sandi\frasa sandi dengan panjang tertentu. Tabel berikut mencantumkan bit entropi yang dihasilkan di seluruh kumpulan sampel panjang kata sandi\frase sandi.

Pengaturan kompleksitas kata sandi yang didukung tercantum di bagian atas tabel, dan panjang kata sandi\frasa sandi tercantum di sisi kiri. Nilai entropi untuk pengaturan panjang kebijakan default ditebalkan:

Pengaturan PasswordComplexity ->

Panjang kata sandi atau frasa sandi

V
1 2 3 4 5 6 7 8
3 39 31 31
4 52 41 41
5 65 52 52
6 78 62 62
7 90 72 72
8 38 46 48 51 48 103 83 83
9 42 51 54 57 54 116 93 93
10 47 57 60 63 60 129 103 103
11 52 63 65 70 66
12 56 68 71 76 72
13 61 74 77 82 78
14 66 80 83 89 84
20 94 114 119 126 120
40 188 228 238 253 240
60 282 342 357 379 360

Pada akhir yang lebih tinggi dari rentang panjang yang diizinkan, tingkat entropi dapat dianggap berlebihan untuk sebagian besar lingkungan IT normal. Pertimbangkan bahwa biasanya ada tradeoff keamanan versus kegunaan yang terlibat. Misalnya, sulit bagi manusia untuk membaca dan mengetik kata sandi panjang dan kompleks. Beralih ke frasa sandi adalah cara yang berguna untuk meningkatkan masalah ini sambil tetap mempertahankan entropi dalam jumlah yang wajar. Jika memaksimalkan keamanan adalah masalah terpenting, Anda mungkin mempertimbangkan perlindungan alternatif, misalnya mempertahankan akun terkelola dalam status dinonaktifkan secara default.

Lihat juga

Langkah berikutnya

Sekarang setelah Anda memahami bagaimana kata sandi dan frasa sandi dibuat, lihat bagian lain ini.