1157 подписчиков

🔑Стандартные парольные политики Active Directory не позволяют запретить использовать такие шаблонные или стандартные пароли как Qwerty123, P@ssw0rd, Gazprom2025 и пр. Такие пароли хотя формально и проходят проверку политики сложности пароля (3 типа символов из 4: цифры, символы в верхнем регистре, символы в нижнем регистре, спец символы), но фактически могут быть легко подобранными по словарю или угаданными.

ℹ️ В Windows смена пароля осуществляется через LSA, который выполняет проверку соотвествия нового пароля политике по определённым фильтрам. На контроллере домена в цепочку проверки можно добавить собственный фильтр пароля.

🔐 Мы рассмотрели две open-source реализации таких фильтров для контроллеров домена AD:

🔹 PassFiltEx

🔹 Lithnet Password Protection for Active Directory

✅ Оба этих решения позволяют выполнять дополнительные проверку при смене пароля пользователя и запретить установку нового пароля, если он совпадает с заданным шаблоном запрещенных паролей/фраз или с паролем во внешней базе хэшей скомпрометированных паролей.

Как запретить использование стандартных, простых и паролей по словарю в Active Directory

🔑Стандартные парольные политики Active Directory не позволяют запретить использовать такие шаблонные или стандартные пароли как Qwerty123, P@ssw0rd, Gazprom2025 и пр.

Около минуты

9 января 2025