Пароли и парольные фразы Windows LAPS
Узнайте, как создаются пароли и парольные фразы для решения локального администратора Windows (Windows LAPS).
Обзор
Основная цель Windows LAPS регулярно сменяет пароль локальной учетной записи Windows. Важно понять, как Windows LAPS создает случайные пароли (или случайные парольные фразы).
Наборы символов паролей
Windows LAPS поддерживает пять различных параметров сложности, которые можно использовать для создания случайных паролей. Параметр политики PasswordComplexity используется для выбора наборов символов, используемых при создании пароля.
| Параметр PasswordComplexity | Description | Кодировки |
|---|---|---|
| 1 | Большие буквы | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" |
| 2 | Большие буквы + небольшие буквы | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
| 3 | Большие буквы + небольшие буквы + цифры | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 4 | Большие буквы + небольшие буквы + цифры + специальные | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" ",.-+;! #&@{}[]$/()%" |
| 5 | Большие буквы + небольшие буквы + цифры (улучшенная удобочитаемость) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
Если выбран параметр сложности с несколькими наборами символов, Windows LAPS гарантирует, что результирующий пароль содержит по крайней мере один символ случайным образом, выбранный из каждого набора символов.
Длина паролей контролируется с помощью параметра политики PasswordLength. Пароли, созданные windows LAPS по умолчанию, длиной 14 символов и могут быть настроены в любом месте от 8 до 64 символов.
Параметр сложности пароля 5 эквивалентен настройке сложности паролей четыре, при этом следующие изменения, внесенные для улучшения удобочитаемости и предотвращения путаницы. Различия между настройкой четырех и пятью следующими способами:
- Удаляет буквы "I", "O", "Q", "l" и "o"
- Удаляет числа "0" и "1"
- Удаляет символы ",", ".", "&", "{", "}", "[", "]", "(", ")" и ";"
- Добавляет символы ":", "=", "?" и "*"
Внимание
Параметр PasswordComplexity 5 поддерживается только в выпусках Windows 11 24H2, Windows Server 2025 и более поздних версий. Для использования этого нового параметра не требуется развертывать контроллеры домена Windows Server 2025.
Списки слов парольной фразы
Windows LAPS поддерживает три различных параметра сложности, которые можно использовать для создания случайных парольных фраз. Параметр политики PasswordComplexity используется для выбора списков слов, используемых при создании парольной фразы:
| Параметр PasswordComplexity | Description | Количество слов в списке |
|---|---|---|
| 6 | Длинные слова | 7776 |
| 7 | Короткие слова | 1276 |
| 8 | Короткие слова с уникальными префиксами | 1276 |
Длина парольной фразы контролируется с помощью параметра политики PassphraseLength. Парольная фраза, созданная windows LAPS по умолчанию, составляет шесть слов и может быть настроена в любом месте от трех до 10 терминов. Первый символ каждого слова всегда заглавно для улучшения удобочитаемости. Знаки препинания или другие разделительные символы не используются между словами.
Пример парольной фразы, созданной с шестью словами из списка "Длинные слова":
SkiingProduceIdentifyStarlitOctaneDistress
Списки слов парольной фразы были взяты из "Глубокое погружение: новые списки wordlists EFF для случайных парольных фраз" в Электронной пограничной фонде и используются в соответствии с лицензией CC-BY-3.0 Attribution. Содержимое всех секретных фраз Windows LAPS можно скачать из списков слов Windows LAPS. Корпорация Майкрософт внесла незначительные изменения в исходные списки слов; Все изменения подробно описаны в скачиваемых списках.
Внимание
Поддержка парольной фразы Windows LAPS поддерживается только в выпусках Windows 11 24H2, Windows Server 2025 и более поздних версий. Для использования этого нового параметра не требуется развертывать контроллеры домена Windows Server 2025.
Рекомендации по энтропии
Windows LAPS создает действительно случайные пароли и парольные фразы (нет возможности предвзятости человека). Поэтому просто вычислить результирующий бит энтропии для пароля\парольной фразы заданной длины. В следующей таблице перечислены полученные биты энтропии по образцу набора длины пароля\парольной фразы.
Поддерживаемые параметры сложности паролей перечислены в верхней части таблицы, а длина пароля\парольная фраза отображается слева. Значения энтропии для параметров длины политики по умолчанию полужирны:
| Параметр PasswordComplexity —> Длина пароля или парольной фразы V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
В более высоком конце допустимых диапазонов длин энтропия может считаться чрезмерным для большинства обычных ИТ-сред. Учитывайте, что обычно существует компромисс по обеспечению безопасности и удобства использования. Например, трудно для людей читать и вводить длинные и сложные пароли. Переключение на парольную фразу является полезным способом улучшения этих проблем, сохраняя разумное количество энтропии. Если максимизация безопасности является главной проблемой, вы можете вместо этого рассмотреть альтернативные защиты, например обслуживание управляемой учетной записи в отключенном состоянии по умолчанию.
См. также
Следующие шаги
Теперь, когда вы узнаете, как создаются пароли и парольные фразы, ознакомьтесь с этими другими разделами.