域控默认的密码策略,无法对域用户密码的设置进行很好的限制,这样的密码复杂性规则,依然存在大量的弱口令,比如Passw0rd、P@ssword等。
基于微软标准的Password Filters功能,提供了一种增强域密码策略的方法。
找相关厂商咨询成熟商业插件的报价,我得到了一个信息,一个插件可能需要几万到十几万不等,按域控服务器数量进行授权。这一下着实出乎我的意料,查阅了相关官方文档,实现一个密码策略插件似乎并没有那么难,于是我准备去做一些尝试。
01、如何实现一个密码策略插件
当域用户密码修改时,本地安全机构(LSA)调用在系统上注册的密码筛选器,依次调用密码筛选器进行验证,检查新密码是否符合密码策略要求。如下图所示:
站在巨人的肩膀上,以PasswordFilter作为关键词在github平台进行搜索,找到一个相对比较新的项目。
github项目地址:
https://github.com/ryanries/PassFiltEx查看相关代码,而我们需要做的就是,在此基础上添加我们需要的密码策略。
修改PassFiltEx.c代码,比如我们增加一些密码检测规则,密码中不得包含3个以上连续数字或字符,不得包含3个连续数字或字符。C语言检测代码实现比较简单就不贴了,重新编译生成dll,接下来我们来部署测试一下效果。
02、安装部署
(1)在域控服务器上,将PassFiltEx.dll和PassFiltExBlacklist.txt复制到C:WindowsSystem32目录中。
(2)编辑注册表:HKLMSYSTEMCurrentControlSetControlLsa=> Notification Packages,将PassFiltEx加入末尾。
(3)重启域控服务器后生效。
03、场景测试
例如:在PassFiltExBlacklist.txt设置密码黑名单:password。
构建测试用例:
用户不同测试场景下,看到的错误信息提示效果,如下:
(1)命令行修改用户密码
(2)域管理员新建账号/重置密码
(3)通过Ctrl+Alt+Del修改用户密码
(4)通过owa修改用户密码
(5)用户通过其他web方式自助修改密码。
附插件下载方式:
关注我的公众号回复“域控密码插件”即可获取下载地址,或者直接加我微信都可以获取。
域账号安全策略概览:
原文始发于微信公众号(Bypass):域控强密码策略插件(附下载地址)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论