Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Узнайте, как создаются пароли и парольные фразы для решения локального администратора Windows (Windows LAPS).
Overview
Основная цель Windows LAPS - регулярно изменять пароль локальной учетной записи Windows. Важно понять, как Windows LAPS создает случайные пароли (или случайные парольные фразы).
Наборы символов паролей
Windows LAPS поддерживает пять различных параметров сложности, которые можно использовать для создания случайных паролей. Параметр политики PasswordComplexity используется для выбора наборов символов, используемых при создании пароля.
| PasswordComplexity setting | Description | Character sets | Example |
|---|---|---|---|
| 1 | Large letters | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" | "OZKTIQHCKHRWOX" |
| 2 | Большие буквы + небольшие буквы | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
"fOiMbhmcVFHzmI" |
| 3 | Большие буквы + небольшие буквы + цифры | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
"logqQVGs53R4vY" |
| 4 | Большие буквы + небольшие буквы + цифры + специальные | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" ",.-+;!#&@{}[]$/()%" |
"P5QWg43.1lA}ra" |
| 5 | Большие буквы + небольшие буквы + цифры (улучшенная удобочитаемость) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
"vnJ!!?MTb5=U7Y" |
Если выбран параметр сложности с несколькими наборами символов, Windows LAPS гарантирует, что результирующий пароль содержит по крайней мере один символ случайным образом, выбранный из каждого набора символов.
Длина паролей контролируется с помощью параметра политики PasswordLength. Пароли, созданные Windows LAPS, по умолчанию имеют длину 14 символов и могут быть настроены в пределах от 8 до 64 символов.
Параметр сложности пароля 5 эквивалентен параметру сложности пароля 4, при внесении следующих изменений для улучшения удобочитаемости и предотвращения путаницы. Различия между настройкой четыре и настройкой пять заключаются в следующем:
- Удаляет буквы "I", "O", "Q", "l" и "o"
- Удаляет числа "0" и "1"
- Удаляет символы ",", ".", "&", "{", "}", "[", "]", "(", ")" и ";"
- Добавляет символы ":", "=", "?" и "*"
Important
Параметр PasswordComplexity 5 поддерживается только в выпусках Windows 11 24H2, Windows Server 2025 и более поздних версий. Для использования этого нового параметра не требуется развертывать контроллеры домена Windows Server 2025.
Списки слов парольной фразы
Windows LAPS поддерживает три различных параметра сложности, которые можно использовать для создания случайных парольных фраз. Параметр политики PasswordComplexity используется для выбора списков слов, используемых при создании парольной фразы:
| PasswordComplexity setting | Description | Количество слов в списке | Example |
|---|---|---|---|
| 6 | Long words | 7776 | "SedimentWaffleEpilogueArrivalWorseningRecent" |
| 7 | Short words | 1276 | "CauseGraveBossFilthHashCleft" |
| 8 | Короткие слова с уникальными префиксами | 1276 | "GongDazzlerNumbingAdmitMowerEvidence" |
Длина парольной фразы контролируется с помощью параметра политики PassphraseLength. Парольные фразы, созданные Windows LAPS по умолчанию, состоят из шести слов и могут быть настроены в пределах от трех до десяти слов. Первый символ каждого слова всегда заглавно для улучшения удобочитаемости. Знаки препинания или другие разделительные символы не используются между словами.
Списки слов для парольных фраз были взяты из Глубокое погружение: новые списки слов EFF для случайных парольных фразФонд электронных рубежей и используются в соответствии с лицензией CC-BY-3.0 Attribution. Содержимое всех секретных фраз Windows LAPS можно скачать из списков слов Windows LAPS. Корпорация Майкрософт внесла незначительные изменения в исходные списки слов; Все изменения подробно описаны в скачиваемых списках.
Important
Поддержка парольной фразы Windows LAPS поддерживается только в выпусках Windows 11 24H2, Windows Server 2025 и более поздних версий. Для использования этого нового параметра не требуется развертывать контроллеры домена Windows Server 2025.
Entropy considerations
Windows LAPS создает действительно случайные пароли и парольные фразы (нет возможности предвзятости человека). Поэтому просто вычислить результирующий бит энтропии для пароля\парольной фразы заданной длины. В следующей таблице перечислены полученные биты энтропии по образцу набора длины пароля\парольной фразы.
Поддерживаемые параметры сложности паролей перечислены в верхней части таблицы, а длина пароля\парольная фраза отображается слева. The entropy values for the default policy length settings are bolded:
| Параметр PasswordComplexity —> Длина пароля или парольной фразы V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
В верхнем пределе допустимых диапазонов длин уровни энтропии могут считаться чрезмерными для большинства обычных ИТ-сред. Учитывайте, что обычно существует компромисс по обеспечению безопасности и удобства использования. Например, трудно для людей читать и вводить длинные и сложные пароли. Переключение на парольную фразу является полезным способом улучшения этих проблем, сохраняя разумное количество энтропии. Если максимизация безопасности является главной проблемой, вы можете вместо этого рассмотреть альтернативные защиты, например обслуживание управляемой учетной записи в отключенном состоянии по умолчанию.
See also
Next steps
Теперь, когда вы узнаете, как создаются пароли и парольные фразы, ознакомьтесь с этими другими разделами.