Изменение пароля Active Directory: повторно разрешить текущий пароль?
Мой вопрос так прост:
Могу ли я настроить Active Directory таким образом, чтобы, когда пользователь хочет/должен изменить свой пароль, его текущий пароль не запрещен (если он соответствует текущей политике паролей)?
Вот некоторые background:
Недавно мы реализовали подход черного списка против известных общедоступных паролей (см. Сервис Троя Ханта Pwned Passwords). Теперь у нас есть некоторые пользователи, чьи пароли не истекают, и есть вероятность, что они все еще используют пароль, который находится в черном списке, но никогда не будет проверен, когда пользователь не изменит свой пароль, так как это единственная возможность проверить свой пароль.
Теперь моя идея состоит в том, чтобы заставить пользователя «изменить» свой пароль, но разрешить его текущий, если его нет в черном списке.
Я знаю, что существует Принудительное применение истории паролей, которую можно установить в 0, но мне кажется, что текущая до сих пор не принята.
В настоящее время мы пробовали тот же подход с интеграцией AD "Меня обманули". Что касается упомянутой вами проблемы, мы нашли один конкретный способ, при котором пользователь может снова использовать тот же пароль (если он еще не был введен).
Настроенный GPO: - принудительно использовать историю паролей: 0 - пароль должен соответствовать требованиям сложности: Включено - «Пользователь должен сменить пароль при следующем входе в систему»: активируйте это для пользователя (ов)
. Это заставило нашего тестового пользователя снова установить свой пароль, и он смог установить тот же пароль, если он не был введен в систему.
Если пользователь решит сбросить свой пароль вручную ( Ctrl + Alt + Del -> изменить пароль), он не сможет установить тот же пароль снова. .
У нас также не было времени проверить, как ведет себя система, если срок действия пароля пользователя истекает «естественным образом». Я не могу сказать, может ли пользователь снова установить тот же пароль или он должен использовать другой.
Это должно позволить вашим пользователям, по крайней мере, работать с максимум двумя «безопасными» паролями.
Проверено на: - Windows Server 2016 (контроллер домена + клиент) - никакие другие GPO не были активны во время тестирования этого
заставить пользователя "изменить" свой пароль, но разрешить текущий, если его нет в чёрном списке. У вас либо есть требование сменить пароль (хороший), либо нет (плохой). Не менять пароль, потому что его нет в каком-то списке - это риск безопасности, потому что злоумышленники могут взломать и использовать аккаунты без пароля, путем кражи и использования хэша пароля. Если пароль не меняется регулярно, хэш пароля не меняется, что является плохой гигиеной безопасности.
существует вероятность того, что они все еще используют пароль, который находится в черном списке, но никогда не будут проверяться, когда пользователь не меняет свой пароль, так как это единственная возможность проверить свой пароль.
На самом деле это не единственная возможность. Есть бесплатные инструменты для проверки слабых паролей:
https://www.dsinternals.com/en/auditing-active-directory-password-quality/
https://thycotic.com/solutions/free-it-tools/weak-password-finder/