Windows LAPS 密碼和複雜密碼
了解如何為 Windows 本機管理員密碼解決方案 (Windows LAPS) 建立密碼和複雜密碼。
概觀
Windows LAPS 的主要用途是定期輪替本機 Windows 帳戶的密碼。 請務必了解 Windows LAPS 如何產生隨機密碼 (或隨機複雜密碼)。
密碼字元集
Windows LAPS 支援五種不同的複雜度設定,該設定可用來產生隨機密碼。 PasswordComplexity 原則設定可用來選擇建立密碼時所使用的字元集。
| PasswordComplexity 設定 | 描述 | 字元集 |
|---|---|---|
| 1 | 大寫字母 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" |
| 2 | 大寫字母 + 小寫字母 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
| 3 | 大寫字母 + 小寫字母 + 數字 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 4 | 大寫字母 + 小寫字母 + 數字 + 特殊符號 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 5 | 大寫字母 + 小寫字母 + 數字 (提高可讀性) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" |
選擇多個字元集的複雜度設定時,Windows LAPS 可確保產生的密碼至少包含從每個字元集隨機選擇的一個字元。
密碼長度是使用 PasswordLength 原則設定來控制。 Windows LAPS 所建立的密碼預設長度為 14 個字元,而且可設定為長度從 8 到 64 個字元的任何位置。
密碼複雜度設定五,相當於密碼複雜度設定四,經過下列修改以提升可讀性並避免混淆。 設定四和設定五之間的差異,如下所示:
- 移除字母 'I'、'O'、'Q'、'l' 和 'o'
- 移除數字 '0' 和 '1'
- 移除符號 ','、'.'、'&'、'{'、'}'、'['、']'、'('、')' 和 ';'
- 新增符號 ':'、'='、'?' 和 '*'
重要
PasswordComplexity 設定 '5' 僅在 Windows 11 24H2、Windows Server 2025 和更新版本中受支援。 不需要部署任何 Windows Server 2025 網域控制站,就能使用這項新設定。
複雜密碼字詞清單
Windows LAPS 支援三種不同的複雜度設定,該設定可用來產生隨機複雜密碼。 PasswordComplexity 原則設定可用來選擇建立複雜密碼時所使用的字詞清單:
| PasswordComplexity 設定 | 描述 | 清單中的字數 |
|---|---|---|
| 6 | 長字 | 7776 |
| 7 | 短字 | 1276 |
| 8 | 具有唯一前置詞的短字 | 1276 |
複雜密碼的長度是使用 PassphraseLength 原則設定來控制。 Windows LAPS 所建立的複雜密碼預設長度為六個字,而且可設定為長度從 3 到 10 個字詞的任何位置。 每個單字的第一個字元一律大寫,如此可提高可讀性。 單字之間不使用標點符號或其他分隔字元。
以六個單字從「長字」清單中擷取的複雜密碼範例:
SkiingProduceIdentifyStarlitOctaneDistress
複雜密碼字詞清單取自電子前鋒基金會 (Electronic Frontier Foundation) 的「深入探討:EFF 隨機複雜密碼的新文字清單」,並於 CC-BY-3.0 屬性授權下使用。 您可以從 Windows LAPS 複雜密碼字詞清單下載 所有 Windows LAPS 複雜密碼字詞清單的特定內容。 Microsoft 已針對原始字詞清單稍做修改,所有變更都詳述於可下載清單中。
重要
Windows LAPS 複雜密碼支援僅在 Windows 11 24H2、Windows Server 2025 和更新版本中受支援。 不需要部署 Windows Server 2025 網域控制站,就能使用這項新設定。
Entropy 注意事項
Windows LAPS 會建立真正的隨機密碼和複雜密碼 (不可能有人為偏見)。 因此,計算指定長度的密碼/複雜密碼的 Entropy 結果位元相當簡單。 下表列出密碼\複雜密碼長度範例中產生的 Entropy 位元。
支援的密碼複雜度設定會列在資料表頂端,而密碼\複雜密碼長度會列在左側。 預設的 原則長度設定的 Entropy 值為粗體:
| PasswordComplexity 設定 -> 密碼或複雜密碼長度 V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
在允許長度範圍的高端,對於大多數正常 IT 環境來說,entropy 層級可能會被視為過度。 請考量通常要在安全性與可用性之間取捨時的應注意事項。 例如,一般人很難讀取和輸入既長又複雜的密碼。 切換至複雜密碼是改善這些問題的實用方式,同時又能保留合理的 entropy 數量。 如果最大化安全性是最重要的事,您可以改為考慮替代保護措施,例如預設以停用狀態維護受控帳戶。
另請參閱
下一步
既然您已了解密碼和複雜密碼的建立方式,請查看這裡的其他章節內容。