tgoop.com/winitpro_ru/837
Last Update:
🔑Стандартные парольные политики Active Directory не позволяют запретить использовать такие шаблонные или стандартные пароли как Qwerty123, P@ssw0rd, Gazprom2025 и пр. Такие пароли хотя формально и проходят проверку политики сложности пароля (3 типа символов из 4: цифры, символы в верхнем регистре, символы в нижнем регистре, спец символы), но фактически могут быть легко подобранными по словарю или угаданными.
ℹ️ В Windows смена пароля осуществляется через LSA, который выполняет проверку соотвествия нового пароля политике по определённым фильтрам. На контроллере домена в цепочку проверки можно добавить собственный фильтр пароля.
🔐 Мы рассмотрели две open-source реализации таких фильтров для контроллеров домена AD:
🔹 PassFiltEx
🔹 Lithnet Password Protection for Active Directory
✅ Оба этих решения позволяют выполнять дополнительные проверку при смене пароля пользователя и запретить установку нового пароля, если он совпадает с заданным шаблоном запрещенных паролей/фраз или с паролем во внешней базе хэшей скомпрометированных паролей.
Как запретить использование стандартных, простых и паролей по словарю в Active Directory
BY WindowsITPro - winitpro.ru
Share with your friend now:
tgoop.com/winitpro_ru/837