域控强密码策略插件

域控默认的密码策略，无法对域用户密码的设置进行很好的限制，这样的密码复杂性规则，依然存在大量的弱口令，比如Passw0rd、P@ssword等。

基于微软标准的Password Filters功能，提供了一种增强域密码策略的方法。

找相关厂商咨询成熟商业插件的报价，我得到了一个信息，一个插件可能需要几万到十几万不等，按域控服务器数量进行授权。这一下着实出乎我的意料，查阅了相关官方文档，实现一个密码策略插件似乎并没有那么难，于是我准备去做一些尝试。

01、如何实现一个密码策略插件

当域用户密码修改时，本地安全机构（LSA）调用在系统上注册的密码筛选器，依次调用密码筛选器进行验证，检查新密码是否符合密码策略要求。如下图所示：

站在巨人的肩膀上，以PasswordFilter作为关键词在github平台进行搜索，找到一个相对比较新的项目。

github项目地址：

https://github.com/ryanries/PassFiltEx

查看相关代码，而我们需要做的就是，在此基础上添加我们需要的密码策略。

修改PassFiltEx.c代码，比如我们增加一些密码检测规则，密码中不得包含3个以上连续数字或字符，不得包含3个连续数字或字符。C语言检测代码实现比较简单就不贴了，重新编译生成dll，接下来我们来部署测试一下效果。

02、安装部署

（1）在域控服务器上，将PassFiltEx.dll和PassFiltExBlacklist.txt复制到C:\Windows\System32目录中。

（2）编辑注册表：HKLM\SYSTEM\CurrentControlSet\Control\Lsa=> Notification Packages，将PassFiltEx加入末尾。

（3）重启域控服务器后生效。

03、场景测试

例如：在PassFiltExBlacklist.txt设置密码黑名单：password。

构建测试用例：

用户不同测试场景下，看到的错误信息提示效果，如下：

（1）命令行修改用户密码

（2）域管理员新建账号/重置密码

（3）通过Ctrl+Alt+Del修改用户密码

（4）通过owa修改用户密码

（5）用户通过其他web方式自助修改密码。

域账号安全策略概览：