Назад | Перейти на главную страницу

AD | Запретить администраторам менять пароли на одно и то же

У меня интересная проблема безопасности: администраторы с доступом к рекламе меняют свой пароль на то же самое и нарушают политику безопасности компании.

На стороне пользователя действует стандартная сложная политика паролей AD (срок действия истекает через x дней, должен быть неиспользуемым и т. Д.), Но поскольку у них есть такой доступ, они могут перезаписать его предыдущим паролем.

Есть ли способ заставить администраторов в AD соблюдать эти настройки? Или, когда они это делают, через что-то будет срабатывать оповещение?

К сожалению, отменить их доступ нельзя. Вариант может заключаться в том, что они не могут изменять свои собственные пароли (у нас есть учетная запись администратора и учетная запись пользователя для каждого администратора)

Краткий ответ: Нет. Когда пользователь (пользователь A) имеет разрешение на изменение пароля другого пользователя (пользователя B), он может установить для него все, что пожелает. По сути, это ваш сценарий.

На это есть причины. Например, AD не знает, что (в данном случае) пользователь A и пользователь B на самом деле одно и то же лицо. Если он представил пользователю A сообщение о том, что пароль, который они пытались установить для пользователя B, соответствует одному из предыдущих паролей пользователя B, пользователь A знает один из предыдущих паролей пользователя B. То же самое применимо к пользователю C или пользователю X.

Проблема в том, что пользователь A знает предыдущий (и потенциальный будущий) пароль AD для этого пользователя. А за пределами AD, очень вероятно, пароль для любого количества других систем.

Решение состоит в том, чтобы объяснить политику вашим администраторам. Теоретически вы не должны знать, что они все равно повторно используют пароли, поэтому принудительное исполнение было бы практически невозможно.

Альтернативой является использование корпоративного решения SSO с многофакторной аутентификацией, которое периодически автоматически рандомизирует пароли пользователей. Но, конечно, за это нужно платить.

Это может быть возможно, если вы реализуете настраиваемый фильтр паролей на каждом DC: https://msdn.microsoft.com/en-us/library/windows/desktop/ms721882(v=vs.85).aspx

Но для этого нужны навыки программирования.