Мой вопрос это так просто:
Могу ли я настроить активный каталог таким образом, чтобы, когда пользователь хочет / необходимо изменить свой пароль, его текущий пароль не запрещен (если он соответствует текущей политике паролей)?
Вот некоторые задний план:
Недавно мы внедрили метод черного списка для известных общедоступных паролей (см. Сервис Pwned Passwords Троя Ханта). Теперь у нас есть несколько пользователей, у которых срок действия паролей не истекает, и есть вероятность, что они все еще используют пароль, который находится в черном списке, но никогда не будет проверен, если пользователь не изменит свой пароль, поскольку это единственная возможность проверить его пароль.
Теперь моя идея состоит в том, чтобы заставить пользователя «изменить» свой пароль, но разрешить его текущий, если он не находится в черном списке.
Я знаю что существует Включить историю паролей который может быть установлен на 0, но мне кажется, что текущий все еще не принят.
В настоящее время мы пробовали тот же подход с интеграцией AD типа «Меня обманули». Что касается упомянутой вами проблемы, мы нашли один конкретный способ, при котором пользователь может снова использовать тот же пароль (если он еще не был введен).
Сконфигурированный GPO: - принудительно использовать журнал паролей: 0 - пароль должен соответствовать требованиям сложности: Включено - «пользователь должен сменить пароль при следующем входе в систему»: активируйте это для пользователя (ов)
Это заставило нашего тестового пользователя снова установить свой пароль, и он смог установить тот же пароль, если он не был загружен.
Если пользователь решает сбросить свой пароль вручную (Ctrl+Alt+Del -> изменить пароль) он не сможет установить тот же пароль снова.
У нас также не было времени проверить, как ведет себя система, если срок действия пароля пользователя истекает «естественным образом». Я не могу сказать, может ли пользователь снова установить тот же пароль или он должен использовать другой.
Это должно позволить вашим пользователям работать как минимум с двумя «безопасными» паролями.
Проверено на: - Windows Server 2016 (контроллер домена + клиент) - ни один другой объект групповой политики не был активен во время тестирования этого
force the user to "change" his password but allow his current one if it's not on the blacklist. У вас либо есть требование изменить пароль (хороший), либо нет (плохой). Не менять пароль, потому что его нет в каком-либо списке, представляет собой угрозу безопасности, потому что злоумышленники могут взломать и использовать учетные записи без пароля путем кражи и использования хеша пароля. Если пароль не меняется регулярно, хэш пароля не меняется, что является низким уровнем безопасности.
there is a chance that they still use a password which is on the blacklist but will never be checked when the user doesn't change his password, since this is the only opportunity to check his password.
На самом деле это не единственная возможность. Есть бесплатные инструменты для поиска слабых паролей:
https://www.dsinternals.com/en/auditing-active-directory-password-quality/
https://thycotic.com/solutions/free-it-tools/weak-password-finder/