Qualcuno sa se è possibile in Active Directory aggiungere una tabella di "password deboli" che saranno bannate? Cercando di allineare le politiche delle password con i nuovi consigli NIST:
Non sono un esperto di Active Directory, ma da quello che ho letto finora, questo non dovrebbe essere possibile solo con AD. Potresti dare un'occhiata al questo articolo di Microsoft. Spiega come sono impostate le regole della password e tutto il resto. Non si fa menzione di dizionari di password o liste nere.
Ho anche trovato questo (mabye obsoleto) risposta nei forum di Windows Server. La risposta accettata dice anche che non è possibile. Questo è un post del 2011 però.
Esistono strumenti di terze parti che affermano di farlo. Non ho idea se funzioneranno effettivamente e non voglio pubblicizzarli, quindi non li collegherò qui.
I filtri password di Active Directory sono ancora supportati. Sono dll nativi che si inseriscono in lsass su controller di dominio e applicano ulteriori controlli dei criteri password oltre ai criteri incorporati per le password di Active Directory.
Il rovescio della medaglia è che devi scrivere la dll da solo e implementare qualsiasi logica tu voglia, o comprarne una da qualcuno che può scriverne una per te.
Ma ciò che stai descrivendo è tecnicamente fattibile usando il meccanismo del filtro password ... devi solo scrivere il plug-in da solo.
È possibile utilizzare AD in combinazione con Microsoft Forefront Identity Manager . Ecco un articolo che spiega come farlo. Fondamentalmente imposta un agente di gestione che contrassegna le password deboli / pwned.
Leggi altre domande sui tag active-directory password-policy nist