¿Alguien sabe si es posible dentro de Active Directory agregar una tabla de "contraseñas débiles" que serán prohibidas? Buscando alinear las políticas de contraseñas con las nuevas recomendaciones de NIST:
No soy un experto en Active Directory, pero por lo que he leído hasta ahora, esto no debería ser posible solo con AD. Es posible que desee consultar este artículo de Microsoft. Explica cómo se configuran las políticas de contraseña y todo eso. No hay mención de diccionarios de contraseñas o listas negras.
También encontré this (mabye no actualizado) responda en los foros de Windows Server. La respuesta aceptada allí también dice, que esto no es posible. Este es un post de 2011 sin embargo.
Hay herramientas de terceros que pretenden lograr esto. No tengo idea de si esto realmente funcionará y no quiero anunciarlos, así que no los vincularé aquí.
Los filtros de contraseña de Active Directory todavía son compatibles. Son archivos DLL nativos que se conectan a lsass en los controladores de dominio y aplican verificaciones de políticas de contraseña adicionales por encima y más allá de las políticas de contraseña de Active Directory integradas.
El inconveniente es que debes escribir el dll por ti mismo e implementar la lógica que quieras, o comprar uno de alguien que pueda escribir uno por ti.
Pero lo que está describiendo es técnicamente factible utilizando el mecanismo de filtro de contraseña ... solo tiene que escribir el complemento usted mismo.
Es posible usar AD en combinación con Microsoft Forefront Identity Manager . Aquí hay un artículo explicando cómo hacerlo. Básicamente, establece un agente de administración que marca las contraseñas débiles / pwned.
Lea otras preguntas en las etiquetas password-policy active-directory nist