Windows 2003 Active Directory: регистрировать неудачные попытки входа в систему с использованием используемого пароля?

Нет, ты не можешь этого сделать. В любом случае это было бы ужасной практикой безопасности, поскольку вы собираете очень длинный список имен пользователей и паролей, которые ваш пользователь, вероятно, использует для других служб.

Что ты жестяная банка do заключается в том, чтобы обеспечить минимальную длину пароля в 9 символов в групповой политике, что кажется разумным, учитывая существующую проблему.

Регистрация пароля в открытом виде даже технически невозможна, потому что сервер не получает его вообще - все протоколы аутентификации, используемые в настоящее время в Windows, используют так называемый «NT-хэш» (MD4-хэш представления пароля UTF-16LE) вместо пароля, и даже хеш NT не передается напрямую на сервер (даже в зашифрованном виде), а используется либо как ключ HMAC (в NTLMv2) или как ключ шифрования для Kerberos TGT. Таким образом, сервер может только проверить правильность пароля, но не может определить, использовался ли один и тот же пароль несколько последовательных попыток ввода неправильного пароля.

Поскольку невозможно зарегистрировать сбои паролей открытым текстом, можете ли вы отладить проблему с другой стороны и посмотреть на свое приложение, чтобы определить, почему оно не будет работать с паролями <9 символов? Похоже, у самого приложения могут быть некоторые требования к паролю, которые, как можно было бы подумать, должны быть настраиваемыми.

Хотя, что бы это ни стоило, я думаю, что предложение MDMarra о том, чтобы заставить пользователей иметь пароли> = 9, является хорошим. С вычислительной мощностью, доступной даже в настольном (или настольном графическом процессоре), уже не безопасно предполагать, что 8 символов и 3 из 4 наборов символов достаточно, чтобы сдерживать атаки грубой силы и радужных таблиц.