域控强密码策略插件(附下载地址)

Bypass

共 996字,需浏览 2分钟

 ·

2022-04-16 06:14

域控默认的密码策略,无法对域用户密码的设置进行很好的限制,这样的密码复杂性规则,依然存在大量的弱口令,比如Passw0rd、P@ssword等。

基于微软标准的Password Filters功能,提供了一种增强域密码策略的方法。

找相关厂商咨询成熟商业插件的报价,我得到了一个信息,一个插件可能需要几万到十几万不等,按域控服务器数量进行授权。这一下着实出乎我的意料,查阅了相关官方文档,实现一个密码策略插件似乎并没有那么难,于是我准备去做一些尝试。


01、如何实现一个密码策略插件

当域用户密码修改时,本地安全机构(LSA)调用在系统上注册的密码筛选器,依次调用密码筛选器进行验证,检查新密码是否符合密码策略要求。如下图所示:

站在巨人的肩膀上,以PasswordFilter作为关键词在github平台进行搜索,找到一个相对比较新的项目。

github项目地址:

https://github.com/ryanries/PassFiltEx

查看相关代码,而我们需要做的就是,在此基础上添加我们需要的密码策略。

修改PassFiltEx.c代码,比如我们增加一些密码检测规则,密码中不得包含3个以上连续数字或字符,不得包含3个连续数字或字符。C语言检测代码实现比较简单就不贴了,重新编译生成dll,接下来我们来部署测试一下效果。

02、安装部署

(1)在域控服务器上,将PassFiltEx.dll和PassFiltExBlacklist.txt复制到C:\Windows\System32目录中。

(2)编辑注册表:HKLM\SYSTEM\CurrentControlSet\Control\Lsa=> Notification Packages,将PassFiltEx加入末尾。

(3)重启域控服务器后生效。

03、场景测试

例如:在PassFiltExBlacklist.txt设置密码黑名单:password。

构建测试用例:


用户不同测试场景下,看到的错误信息提示效果,如下:

(1)命令行修改用户密码

(2)域管理员新建账号/重置密码

(3)通过Ctrl+Alt+Del修改用户密码

(4)通过owa修改用户密码

(5)用户通过其他web方式自助修改密码。

附插件下载方式:

关注我的公众号回复“域控密码插件”即可获取下载地址,或者直接加我微信都可以获取。

域账号安全策略概览:

浏览 22
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报