Senhas e frases secretas do Windows LAPS
Saiba como senhas e frases secretas são criadas para a Solução de Senha do Administrador Local do Windows (Windows LAPS).
Visão geral
O objetivo principal do Windows LAPS é girar regularmente a senha de uma conta local do Windows. É importante entender como o Windows LAPS gera senhas aleatórias (ou frases secretas aleatórias).
Conjuntos de caracteres de senha
O Windows LAPS oferece suporte a cinco configurações de complexidade diferentes que podem ser usadas para gerar senhas aleatórias. A configuração de política PasswordComplexity é usada para escolher quais conjuntos de caracteres são usados ao criar uma senha.
| Configuração PasswordComplexity | Descrição | Conjuntos de caracteres |
|---|---|---|
| 1 | Letras maiúsculas | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" |
| 2 | Letras maiúsculas + letras minúsculas | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
| 3 | Letras maiúsculas + letras minúsculas + números | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 4 | Letras maiúsculas + letras minúsculas + números + caracteres especiais | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" ",.-+;!#&@{}[]$/()%" |
| 5 | Letras maiúsculas + letras minúsculas + números (maior legibilidade) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
Quando uma configuração de complexidade com vários conjuntos de caracteres é escolhida, o Windows LAPS garante que a senha resultante contenha pelo menos um caractere escolhido aleatoriamente de cada conjunto de caracteres.
O comprimento das senhas é controlado usando a configuração de política PasswordLength. As senhas criadas pelo Windows LAPS têm como padrão 14 caracteres de comprimento e podem ser configuradas para ter de 8 a 64 caracteres.
A configuração de complexidade de senha cinco é equivalente à configuração de complexidade de senha quatro, com as seguintes modificações feitas para melhorar a legibilidade e evitar confusão. As diferenças entre a configuração quatro e a configuração cinco são as seguintes:
- Remove as letras 'I', 'O', 'Q', 'l' e 'o'
- Remove os números '0' e '1'
- Remove os símbolos ',', '.', '&', '{', '}', '[', ']', '(', ')' e ';'
- Adiciona os símbolos ':', '=', '?' e '*'
Importante
A configuração PasswordComplexity de "5" só tem suporte no Windows 11 24H2, Windows Server 2025 e versões posteriores. Não é necessário implantar nenhum controlador de domínio do Windows Server 2025 para usar essa nova configuração.
Listas de palavras de frase secreta
O Windows LAPS oferece suporte a três configurações de complexidade diferentes que podem ser usadas para gerar frases secretas aleatórias. A configuração de política PasswordComplexity é usada para escolher quais listas de palavras são usadas ao criar uma frase secreta:
| Configuração PasswordComplexity | Descrição | Número de palavras na lista |
|---|---|---|
| 6 | Palavras longas | 7776 |
| 7 | Palavras curtas | 1276 |
| 8 | Palavras curtas com prefixos exclusivos | 1276 |
O comprimento das frases secretas é controlado usando a configuração de política PassphraseLength. As frases secretas criadas pelo Windows LAPS têm como padrão seis palavras e podem ser configuradas para ter de três a 10 termos. O primeiro caractere de cada palavra é sempre maiúsculo para melhorar a legibilidade. Nenhuma pontuação ou outro caractere de divisão é usada entre as palavras.
Exemplo de uma frase secreta criada com seis palavras retiradas da lista "Palavras longas":
SkiingProduceIdentifyStarlitOctaneDistress
As listas de palavras secretas foram retiradas de "Deep Dive: EFF's New Wordlists for Random Passphrases" pela Electronic Frontier Foundation, e são usadas sob uma licença CC-BY-3.0 Attribution. O conteúdo específico de todas as listas de palavras de frase secreta do Windows LAPS pode ser baixado das Listas de palavras de frase secreta do Windows LAPS. A Microsoft fez pequenas modificações nas listas de palavras originais; Todas as alterações são detalhadas nas listas para download.
Importante
O suporte à senha LAPS do Windows só tem suporte no Windows 11 24H2, Windows Server 2025 e versões posteriores. Não é necessário implantar um controlador de domínio do Windows Server 2025 para usar essa nova configuração.
Considerações sobre entropia
O Windows LAPS cria senhas e frases secretas verdadeiramente aleatórias (nenhum viés humano é possível). Portanto, é simples calcular os bits de entropia resultantes para uma senha/frase secreta de um determinado comprimento. A tabela a seguir lista os bits de entropia resultantes em um conjunto de exemplo de comprimentos de senha/frase secreta.
As configurações de complexidade de senha com suporte são listadas na parte superior da tabela, e os comprimentos senha/frase secreta são listados no lado esquerdo. Os valores de entropia para as configurações de comprimento da política padrão estão em negrito:
| Configuração PasswordComplexity - > Comprimento da senha ou frase secreta V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
Na extremidade superior das faixas de comprimento permitidas, os níveis de entropia podem ser considerados excessivos para a maioria dos ambientes normais de TI. Considere que geralmente há uma compensação de segurança versus usabilidade envolvida. Por exemplo, é difícil para os seres humanos ler e digitar senhas longas e complexas. Mudar para frases secretas é uma maneira útil de melhorar esses problemas, mantendo uma quantidade razoável de entropia. Se maximizar a segurança for uma preocupação primordial, você pode considerar proteções alternativas, por exemplo, manter a conta gerenciada em um estado desabilitado por padrão.
Confira também
Próximas etapas
Agora que você entendeu como senhas e frases secretas são criadas, dê uma olhada nessas outras seções.