Windows AD, como invalidar completamente as senhas simples existentes após impor a diretiva de domínio de senha strong?

Navegue suas respostas
2

Eu segui este artigo da Microsoft para impor senhas de usuário de domínio strongs. Antes de realizar essa ação, alguns usuários do domínio usavam senhas simples (como 123456). Depois de aplicar uma diretiva de senha strong por meio do GPO, confirmei que ela entra em vigor, porque a alteração de uma senha é feita com o o método iisadmpwd falha com a mensagem de erro" A senha é muito curta ou restrições de exclusividade de senha não foram atendidas "na página da Web.

No entanto, as senhas simples desses usuários ainda são válidas, ou seja, software de servidor que integra o Windows AD ou LDAP para verificar se a identidade do usuário ainda aceita senhas simples antigas ou, mais tecnicamente, a API do Windows LogonUser ainda aceitam senhas antigas senhas simples. A minha pergunta é: Como posso invalidar completamente essas senhas simples para que eu possa forçar esses usuários a fazer uma mudança (chamar admin do AD para uma redefinição de senha, etc.)?

Acho que esse é um caso comum, mas parece difícil encontrar uma resposta apenas pesquisando no Google.

    
por Jimm Chen 28.07.2013 / 14:54

3 respostas

3

Use a abordagem de Stephane de forçar uma alteração de senha no próximo logon e depois de 1 semana de consulta do AD para qualquer pessoa sem o sinalizador definido. Em seguida, desabilite essas contas e aguarde uma chamada de helpdesk para forçá-las a mudar.

Ou após 1 semana de consulta, AD pwdlastset , conforme mostrado aqui: Powershell: Como faço para consultar o pwdLastSet e fazer sentido? e desative ou chame de forma proativa os usuários que não definiram uma senha nos últimos 7 dias e trabalhem com eles para alterar sua conta senhas.

Além disso, não conheço uma ferramenta que possa consultar "senhas simples", mas talvez outra pessoa seja.

    
por 28.07.2013 / 16:04
3

A solução comum é forçar uma redefinição de senha para todos os usuários no próximo logon

    
por 28.07.2013 / 15:16
1

Depende de quão ética você deseja ser e do que sua política de segurança de TI diz sobre senhas e sua visibilidade para a equipe de TI.

Uma solução, e pode ser desaprovada pela comunidade, seria "auditar" (ahem!) as senhas de seus usuários, e então informar aqueles que claramente não aderem ao seu novo padrão.

Para "auditar", eu recomendaria John The Ripper . Como eu digo, depende de como isso deixa você do ponto de vista da política / ética.

    
por 28.07.2013 / 19:24

Tags

O módulo snap-in do Backup do Windows Server nunca é instalado Por quanto tempo o Linux (por padrão) armazena informações sobre arquivos no disco?