安全矩阵

 找回密码
 立即注册
搜索
查看: 2224|回复: 0

域控强密码策略插件(附下载地址)

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-4-11 08:47:32 | 显示全部楼层 |阅读模式
本帖最后由 luozhenni 于 2022-4-11 08:55 编辑

域控强密码策略插件(附下载地址)
原创 Bypass  Bypass  2022-04-11 08:00
原文链接:域控强密码策略插件(附下载地址)
域控默认的密码策略,无法对域用户密码的设置进行很好的限制,这样的密码复杂性规则,依然存在大量的弱口令,比如Passw0rd、P@ssword等。

基于微软标准的Password Filters功能,提供了一种增强域密码策略的方法。
找相关厂商咨询成熟商业插件的报价,我得到了一个信息,一个插件可能需要几万到十几万不等,按域控服务器数量进行授权。这一下着实出乎我的意料,查阅了相关官方文档,实现一个密码策略插件似乎并没有那么难,于是我准备去做一些尝试。

01、如何实现一个密码策略插件

当域用户密码修改时,本地安全机构(LSA)调用在系统上注册的密码筛选器,依次调用密码筛选器进行验证,检查新密码是否符合密码策略要求。如下图所示:

站在巨人的肩膀上,以PasswordFilter作为关键词在github平台进行搜索,找到一个相对比较新的项目。
github项目地址:
  1. https://github.com/ryanries/PassFiltEx
复制代码


查看相关代码,而我们需要做的就是,在此基础上添加我们需要的密码策略。

修改PassFiltEx.c代码,比如我们增加一些密码检测规则,密码中不得包含3个以上连续数字或字符,不得包含3个连续数字或字符。C语言检测代码实现比较简单就不贴了,重新编译生成dll,接下来我们来部署测试一下效果。


02、安装部署

(1)在域控服务器上,将PassFiltEx.dll和PassFiltExBlacklist.txt复制到C:\Windows\System32目录中。

(2)编辑注册表:HKLM\SYSTEM\CurrentControlSet\Control\Lsa=> Notification Packages,将PassFiltEx加入末尾。

(3)重启域控服务器后生效。

03、场景测试

例如:在PassFiltExBlacklist.txt设置密码黑名单:password。
构建测试用例:

用户不同测试场景下,看到的错误信息提示效果,如下:
(1)命令行修改用户密码

(2)域管理员新建账号/重置密码

(3)通过Ctrl+Alt+Del修改用户密码

(4)通过owa修改用户密码

(5)用户通过其他web方式自助修改密码。

附插件下载方式:
关注我的公众号回复“域控密码插件”即可获取下载地址,或者直接加我微信都可以获取。
域账号安全策略概览:

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-28 20:08 , Processed in 0.013226 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表