您能否根据NIST准则在Active中建立一个弱/通用密码策略？

Question

是否有人知道Active Directory中是否有可能添加将被禁止的“弱密码”表？希望使密码策略与新的NIST建议保持一致：

https://pages.nist.gov/800-63-3/

Answer 1

我不是Active Directory专家，但从我目前所读到的情况来看，这不应该仅靠AD来实现。您可能想看看这微软的文章。它解释了密码策略是如何设置的，以及所有这些。没有提到密码字典或黑名单。

我还在Windows论坛上找到了这 (过时的)答案。那里公认的答案还说，这是不可能的。不过，这是2011年的一个帖子。

有一些第三方工具声称可以完成这一任务。我不知道这些是否真的有用，我不想做广告，所以我不会把它们链接到这里。

Answer 2

AD与微软前沿身份管理器相结合是可行的。这是一篇文章解释如何做这件事。它基本上设置了一个管理代理，用于标记弱/pwned密码。

Answer 3

仍然支持密码筛选器。它们是本地dll，可插入域控制器上的lsass，并在内置Active密码策略之上和之后强制执行附加密码策略检查。

缺点是，您必须自己编写dll并实现您想要的任何逻辑，或者从可以为您编写dll的人那里购买一个。

但是你所描述的密码过滤机制在技术上是可行的.你只要自己写插件就行了。