Можно ли настроить обязательный префикс и суффикс, которые пользователи должны использовать при смене пароля в среде Microsoft? Если да, то как?
Позвольте мне объяснить, откуда это взялось. В моей компании они требуют, чтобы у пользователей был префикс и суффикс по умолчанию для их паролей. Это увеличивает стойкость паролей по умолчанию. Хотя в настоящее время возможность смены пароля пользователями отключена. Потому что в противном случае пользователи, вероятно, не использовали бы префикс и суффикс.
Если пользователю необходимо изменить свой пароль, ему необходимо связаться с ИТ-отделом, и они введут новый пароль (совершенно небезопасный). В настоящее время я занимаюсь исследованием проблем безопасности, и это одна из них.
Невозможно сделать это с помощью собственных инструментов AD, вам придется создать что-то еще.
На самом деле построить что-то не так уж и сложно. Нам приходилось делать что-то подобное на моей старой работе, поскольку нам нужна была система для синхронизации паролей между Active Directory и тремя другими системами паролей. Мы создали онлайн-портал, где пользователи могли управлять определенными аспектами своей идентичности в кампусе, и смена пароля была одним из них. Как и вы, мы отключили возможность изменять пароли, потому что в противном случае изменения не синхронизировались бы с другими тремя системами.
Без сомнения, потребуется некоторая безопасная инженерия. Но если у вас есть веб-сервис, который проверяет, соответствуют ли отправленные пароли правилам сложности, он может легко добавить любой префикс / суффикс, необходимый для любых изменений пароля. Это более безопасно, чем ваша текущая система, поскольку изменения пароля не передаются через человека, и вы можете скрыть страницу за аутентификацией AD, чтобы лучше проверять отправленные изменения пароля от реального человека.