Kata sandi dan frasa sandi Windows LAPS
Pelajari tentang bagaimana kata sandi dan frasa sandi dibuat untuk Windows Local Administrator Password Solution (Windows LAPS).
Gambaran Umum
Tujuan utama Windows LAPS secara teratur memutar kata sandi akun Windows lokal. Penting untuk memahami bagaimana Windows LAPS menghasilkan kata sandi acak (atau frasa sandi acak).
Set karakter kata sandi
Windows LAPS mendukung lima pengaturan kompleksitas berbeda yang dapat digunakan untuk menghasilkan kata sandi acak. Pengaturan kebijakan PasswordComplexity digunakan untuk memilih set karakter mana yang digunakan saat membuat kata sandi.
| Pengaturan PasswordComplexity | Deskripsi | Set karakter |
|---|---|---|
| 1 | Huruf besar | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" |
| 2 | Huruf besar + huruf kecil | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
| 3 | Huruf besar + huruf kecil + angka | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 4 | Huruf besar + huruf kecil + angka + khusus | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" ",.-+;! #&@{}[]$/()%" |
| 5 | Huruf besar + huruf kecil + angka (keterbacaan yang ditingkatkan) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
Ketika pengaturan kompleksitas dengan beberapa set karakter dipilih, Windows LAPS memastikan bahwa kata sandi yang dihasilkan berisi setidaknya satu karakter yang dipilih secara acak dari setiap set karakter.
Panjang kata sandi dikontrol menggunakan pengaturan kebijakan PasswordLength. Kata sandi yang dibuat oleh Windows LAPS panjangnya default menjadi 14 karakter, dan dapat dikonfigurasi untuk berada di mana saja dari panjang 8-64 karakter.
Pengaturan kompleksitas kata sandi lima setara dengan pengaturan kompleksitas kata sandi empat, dengan modifikasi berikut yang dilakukan untuk meningkatkan keterbacaan dan menghindari kebingungan. Perbedaan antara pengaturan empat dan pengaturan lima adalah sebagai berikut:
- Menghapus huruf 'I', 'O', 'Q', 'l', dan 'o'
- Menghapus angka '0' dan '1'
- Menghapus simbol ',', '.', '&', '{', '}', '[', ']', '(', ')', dan ';'
- Menambahkan simbol ':', '=', '?', dan '*'
Penting
Pengaturan PasswordComplexity '5' didukung di Windows Server 2025 dan versi OS client\server yang lebih baru. Tidak diperlukan untuk menyebarkan pengontrol domain Windows Server 2025 untuk menggunakan pengaturan baru ini.
Daftar kata frasa sandi
Windows LAPS mendukung tiga pengaturan kompleksitas berbeda yang dapat digunakan untuk menghasilkan frasa sandi acak. Pengaturan kebijakan PasswordComplexity digunakan untuk memilih daftar kata mana yang digunakan saat membuat frasa sandi:
| Pengaturan PasswordComplexity | Deskripsi | Jumlah kata dalam daftar |
|---|---|---|
| 6 | Kata-kata panjang | 7776 |
| 7 | Kata-kata pendek | 1276 |
| 8 | Kata-kata pendek dengan awalan unik | 1276 |
Panjang frasa sandi dikontrol menggunakan pengaturan kebijakan PassphraseLength. Frasa sandi yang dibuat oleh Windows LAPS default ke enam kata panjangnya, dan dapat dikonfigurasi untuk berada di mana saja dari tiga hingga 10 istilah panjangnya. Karakter pertama dari setiap kata selalu dikapitalisasi untuk peningkatan keterbacaan. Tidak ada tanda baca atau karakter pembagian lainnya yang digunakan di antara kata-kata.
Contoh frase sandi yang dibuat dengan enam kata yang diambil dari daftar "Kata panjang":
SkiingProduceIdentifyStarlitOctaneDistress
Daftar kata frasa sandi diambil dari "Deep Dive: EFF's New Wordlists for Random Passphrases" oleh Electronic Frontier Foundation, dan digunakan di bawah lisensi Atribusi CC-BY-3.0. Konten spesifik dari semua daftar kata frasa sandi Windows LAPS dapat diunduh dari Daftar Kata Frasa Sandi Windows LAPS. Microsoft membuat sedikit modifikasi pada daftar kata asli; semua perubahan dirinci dalam daftar yang dapat diunduh.
Penting
Dukungan frase sandi Windows LAPS didukung di Windows Server 2025 dan versi OS client\server yang lebih baru. Tidak diperlukan untuk menyebarkan pengontrol domain Windows Server 2025 untuk menggunakan pengaturan baru ini.
Pertimbangan entropi
Windows LAPS membuat kata sandi dan frasa sandi yang benar-benar acak (tidak ada bias manusia yang dimungkinkan). Oleh karena itu, mudah untuk menghitung bit entropi yang dihasilkan untuk kata sandi\frasa sandi dengan panjang tertentu. Tabel berikut mencantumkan bit entropi yang dihasilkan di seluruh kumpulan sampel panjang kata sandi\frase sandi.
Pengaturan kompleksitas kata sandi yang didukung tercantum di bagian atas tabel, dan panjang kata sandi\frasa sandi tercantum di sisi kiri. Nilai entropi untuk pengaturan panjang kebijakan default ditebalkan:
| Pengaturan PasswordComplexity -> Panjang kata sandi atau frasa sandi V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
Pada akhir yang lebih tinggi dari rentang panjang yang diizinkan, tingkat entropi dapat dianggap berlebihan untuk sebagian besar lingkungan IT normal. Pertimbangkan bahwa biasanya ada tradeoff keamanan versus kegunaan yang terlibat. Misalnya, sulit bagi manusia untuk membaca dan mengetik kata sandi panjang dan kompleks. Beralih ke frasa sandi adalah cara yang berguna untuk meningkatkan masalah ini sambil tetap mempertahankan entropi dalam jumlah yang wajar. Jika memaksimalkan keamanan adalah masalah terpenting, Anda mungkin mempertimbangkan perlindungan alternatif, misalnya mempertahankan akun terkelola dalam status dinonaktifkan secara default.
Lihat juga
Langkah berikutnya
Sekarang setelah Anda memahami bagaimana kata sandi dan frasa sandi dibuat, lihat bagian lain ini.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk