我的问题就这么简单:
我是否可以配置一个活动目录,以便当用户想要/需要更改密码时,不禁止使用其当前密码(如果它符合当前密码策略)?
以下是一些背景:
我们最近针对已知的公开密码实施了黑名单方法(请参阅Troy Hunt 的服务破解了密码)。现在我们有一些用户的密码没有过期,并且有可能他们仍然使用黑名单上的密码,但当用户不更改密码时,该密码永远不会被检查,因为这是检查密码的唯一机会。
现在我的想法是强制用户“更改”他的密码,但如果他的当前密码不在黑名单上,则允许他使用当前密码。
我知道存在强制密码历史记录可以设置为 0,但在我看来当前的值仍然不被接受。
答案1
force the user to "change" his password but allow his current one if it's not on the blacklist.
您要么有更改密码的要求(好),要么没有更改密码的要求(坏)。由于密码不在某个列表中而不更改密码是一种安全风险,因为攻击者可以通过窃取和使用密码哈希来破解和使用没有密码的帐户。如果不定期更改密码,则密码哈希也不会更改,这是不安全的。
there is a chance that they still use a password which is on the blacklist but will never be checked when the user doesn't change his password, since this is the only opportunity to check his password.
事实上,这不是唯一的机会。有免费工具可以扫描弱密码:
https://www.dsinternals.com/en/auditing-active-directory-password-quality/
https://thycotic.com/solutions/free-it-tools/weak-password-finder/
答案2
我们目前尝试了与“我是否被黑了” AD 集成相同的方法。关于您提到的问题,我们发现了一种特定的方法,用户可以再次使用相同的密码(如果密码尚未被黑)。
配置的 GPO: - 强制密码历史记录:0 - 密码必须符合复杂性要求:已启用 - “用户必须在下次登录时更改密码”:为用户激活此功能
这迫使我们的测试用户再次设置密码,如果密码没有被破解,他可以设置相同的密码。
如果用户决定手动重置密码(Ctrl++ -->更改密码) Alt,Del他将无法再次设置相同的密码。
我们也没有时间检查系统如何运作,如果用户密码“自然”过期。我无法判断用户是否能够再次设置相同的密码,或者是否必须使用另一个密码。
这应该使您的用户至少能够使用最多两个“安全”密码。
测试平台:- Windows Server 2016(域控制器 + 客户端)- 测试期间没有其他 GPO 处于活动状态