ฉันจะค้นหานโยบายความซับซ้อนของรหัสผ่านได้อย่างไร

30

ผู้ใช้พยายามเปลี่ยนรหัสผ่านในโดเมน Windows และไม่ยอมรับ:

รหัสผ่านที่ให้มาไม่ตรงตามข้อกำหนดด้านความซับซ้อนขั้นต่ำ

ผู้ใช้ปลายทางจะทราบได้อย่างไรว่าข้อกำหนดนั้นเป็นอย่างไร (ทางออกที่ชัดเจนจะติดต่อ IT แต่สมมติว่าเป็นไปไม่ได้)

— Siim K
แหล่งที่มา

หากมีโฆษณาเกิดขึ้นใครเป็นผู้จัดการและทำไมพวกเขาจึงไม่สามารถติดต่อได้

— Dave M

2

@Dave: มันเป็นคำถามทางทฤษฎี :) ฉันแค่อยากรู้ว่ามันสามารถทำได้

— Siim K

6

ในทางทฤษฎีไม่ได้พยายามช่วยผู้ใช้ด้วยปัญหาที่แน่นอนเมื่อ sysadmin อยู่ในช่วงพักร้อน ... มันเป็นข้อบกพร่องการออกแบบที่ค่อนข้างใหญ่ที่ Windows ไม่ได้บอกผู้ใช้ว่าความต้องการความซับซ้อนในกระบวนการเปลี่ยนรหัสผ่านเป็นอย่างไร .

— Brian Knoblauch

14

ผู้ใช้ AD ทุกคนสามารถดูค่าของแอตทริบิวต์ที่ชื่อ " pwdProperties " id ของคุณอาจถูกตั้งค่าเป็น "DOMAIN_PASSWORD_COMPLEX" (ค่า "1", จำนวนเต็ม)

AdFindสามารถใช้เพื่อดึงข้อมูลคุณลักษณะหลายอย่างที่สัมพันธ์กับรหัสผ่าน:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

นี่คือตัวอย่างของสิ่งที่คุณจะได้รับ:

AdFind V01.45.00cpp Joe Richards (joe@joeware.net) มีนาคม 2011

การใช้เซิร์ฟเวอร์: domain.example.org:389 ไดเรกทอรี: Windows Server 2008 R2 Base DN: DC = โดเมน, DC = ตัวอย่าง, DC = org

DN: DC = โดเมน DC = ตัวอย่าง DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

ส่งคืน 1 วัตถุ

— Shadok
แหล่งที่มา

3

ข้อมูลเกี่ยวกับข้อกำหนดด้านความซับซ้อนที่สามารถพบได้ที่นี่: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx

— kroimon

2

ไม่แน่ใจว่าสิ่งนี้จะมีประโยชน์มากหากโดเมนใช้ตัวกรองรหัสผ่านที่กำหนดเอง msdn.microsoft.com/en-us/library/windows/desktop/ms721882.aspx

— Zoredache

36

คำสั่งในตัว Windows นี้ (ใช้พรอมต์คำสั่ง : cmd.exe) พิมพ์รายละเอียดเช่นเดียวกับเครื่องมือตอบ :

net accounts

ตัวอย่างผลลัพธ์:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

เครดิต / แหล่งที่มา: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

— เดวิดบาลาซิก
แหล่งที่มา

คุณคือ MVP ที่แท้จริง technet.microsoft.com/en-us/library/bb490698.aspx

— HackSlash

5

คุณควรเพิ่ม "/ domain" เป็นสิ่งจำเป็นในระบบควบคุมโฆษณา: "บัญชี / โดเมนสุทธิ"

— HackSlash

@HackSlash คุณหมายถึงอะไร เวิร์กสเตชันของฉันเป็นสมาชิกของโดเมนและnet accountsคำสั่งล้วนพิมพ์ข้อมูลข้างต้นทั้งหมดโดยไม่มีปัญหา

— David Balažic

เมื่อคุณใช้งาน/domainคุณจะเห็นข้อความนี้:The request will be processed at a domain controller for domain

— HackSlash

4

เนื่องจากเป็นโฆษณาปัจจุบันมีรูปแบบที่ซับซ้อนเพียงอย่างเดียว (ต่อหนึ่งรายการ): รูปแบบที่เรียกว่า 3 จาก 4 รูปแบบ ไม่ว่าจะเปิดหรือปิดนอกเสียจากว่าคุณจะใช้เครื่องมือของบุคคลที่สามเช่น Spec Ops เพื่อบังคับใช้ความซับซ้อนในระดับอื่น Three of Four หมายถึงรหัสผ่านของคุณต้องมีอักขระอย่างน้อยหนึ่งตัวจากชุดอักขระที่เป็นไปได้ 3 ใน 4 ตัว:

กรณีบน
ตัวพิมพ์เล็ก
ตัวเลข (0-9)
คำสาปของหนังสือการ์ตูน (อาคาอักขระพิเศษ: !@#$%^&*(*))_+ฯลฯ )

— geoffc
แหล่งที่มา

คุณกำลังพูดถึงหน้าต่างรุ่นใด มีพารามิเตอร์ที่กำหนดค่าได้หกตัวในนโยบายรหัสผ่านเริ่มต้นที่ AD มีให้

— HackSlash

อวกาศก็ถือว่าเป็นตัวละครพิเศษ

— บาทหลวง

-4

ฉันไม่เชื่อว่ามีความพยายามอันโหดร้ายที่ไม่มีทางทำสิ่งนี้โดยทางโปรแกรมเว้นแต่ว่าคุณเป็นผู้ดูแลระบบอยู่แล้ว ดังนั้นคุณจะต้องเรียกมันว่า (ค่าเริ่มต้นจะแตกต่างกันไปขึ้นอยู่กับสิ่งที่พวกเขาได้ตั้งค่าไว้ แต่ถ้าคุณรู้ว่าฉันคิดว่าคุณสามารถค้นหาค่าเริ่มต้นแล้วลองไม่รับประกันว่าพวกเขาจะไม่เปลี่ยนแน่นอน)

— Shinrai
แหล่งที่มา