推荐开源项目:Lithnet Password Protection for Active Directory(LPP)
在信息安全日益重要的今天,确保组织的Active Directory账户拥有强大的密码是至关重要的。Lithnet Password Protection for Active Directory(LPP)正是这样一个用于增强AD密码保护的开源解决方案。
1、项目介绍
LPP是一个基于密码过滤器的模块,安装在你的Active Directory服务器上,能够在用户尝试更改密码时进行检查。通过组策略,你可以自定义要执行的检查类型,从而拒绝弱密码或批准强密码的设置。
2、项目技术分析
LPP提供了丰富多样的密码检查功能,包括:
- 阻止已被泄露的密码:可以轻松导入HIBP数据集,也可以自定义导入任何明文密码或NTLM哈希。
- 基于特定词汇阻止密码:添加禁止词汇,以防止它们成为密码的基础。例如,禁用'password'一词,将阻止其所有常见变体。
- 基于长度的复杂性政策:可以根据密码长度设定不同的复杂性要求。
- 正则表达式策略:可以通过正则表达式来规定密码的匹配规则。
- 积分制复杂度:为特定字符和类别分配积分,并设置最低积分阈值。
此外,LPP还支持审计现有密码,找出弱口令并强制用户更改。
3、项目及技术应用场景
LPP适用于所有寻求加强Active Directory账户安全性的组织。无论你是希望部分或者完全采用2018年NIST的密码建议,或是希望定制自己的密码策略,LPP都能满足需求。特别适合大型环境,提供高性能和高安全性。
4、项目特点
- 全面的PowerShell支持:用于同步泄露密码列表、添加自定义词汇等操作。
- 密码仅在域控制器中处理:保证数据安全。
- 设计为大型环境优化:高性能运行。
- 详细的事件日志记录。
- DFS-R兼容的数据存储。
- 无需互联网访问。
- 部署无额外服务器需求。
- 组策略支持。
系统要求与入门指南
LPP仅支持x64版本的Windows。更多详细信息,包括如何开始使用,可参考官方文档。
贡献与支持
如果你发现错误或想贡献代码,欢迎提交问题报告或拉取请求。Lithnet也提供企业级支持计划,让部署更无忧。
保持更新:
最后,感谢Troy Hunt的Have I Been Pwned服务,以及Michael Grafnetter的DSInternals工具,他们的工作让LPP成为可能。
现在,让我们一起提升Active Directory的安全水平吧!