AD | Impedir que os administradores alterem as senhas para a mesma coisa

4

Tenho um problema de segurança interessante: os administradores com acesso a anúncios alteraram a senha para a mesma situação e violaram a política de segurança da empresa.

Do lado do usuário, a política padrão de senhas complicadas do AD está em vigor (expira após x dias, tem que ser uma que não é usada, etc.), mas como eles têm esse acesso, podem substituí-la por uma senha anterior.

Existe alguma maneira de forçar os administradores no AD a obedecerem a essas configurações? Ou ter um gatilho de alerta por meio de algo quando eles fazem isso?

Remover o acesso deles não é uma opção, infelizmente. Uma opção pode ser que eles não possam modificar suas próprias senhas (temos conta de administrador e conta de usuário por administrador)

    
por Nobody NoOne 02.07.2015 / 02:57

2 respostas

3

Resposta curta: Não. Quando um usuário (usuário A) tem permissão para alterar a senha de outro usuário (usuário B), ele pode defini-lo como desejar. Este é efetivamente o seu cenário.

Existem razões para isso. Por exemplo, o AD não sabe que (neste caso) o usuário A e o usuário B são de fato a mesma pessoa. Se apresentasse ao usuário A uma mensagem informando que a senha que ele estava tentando definir para o usuário B correspondia a uma das senhas anteriores do usuário B, o usuário A conhece uma das senhas anteriores do usuário B. O mesmo se aplica ao usuário C ou usuário X.

O problema é que o usuário A sabe uma senha do AD anterior (e potencial futura) para esse usuário. E fora do AD, muito provavelmente uma senha para qualquer número de outros sistemas.

A solução é explicar a política para seus administradores. Em teoria, você não deveria saber que eles estão reutilizando senhas de qualquer maneira, então impor isso seria quase impossível.

a alternativa é usar uma solução de SSO corporativa com autenticação de múltiplos fatores que randomiza automaticamente as senhas de usuários periodicamente. Mas isso tem um custo associado, é claro.

    
por 02.07.2015 / 03:31
0

Isso pode ser possível se você implementar um filtro de senha personalizado em cada CD: link

Mas isso requer habilidades de programação.

    
por 02.07.2015 / 20:45