" title="朱增举 IT博客


0

使用OpenPasswordFilter来加强WindowsAD的密码管控

编辑:管理员/ 栏目:Windows系统类 /发布于:2020年-12月-16日

OpenPasswordFilter是在github上的一个开源项目,旨在加强Windows自带的密码管理机制。

项目地址请访问:https://github.com/jephthai/OpenPasswordFilter


Windows原生的密码策略进针对密码长度、有效期、复杂性开放了设置项,而企业内部很多人有时更多的会在负责规范的前提下,提供几乎等于没有密码的密码,如password@123,企业英文名字@123等等。

OpenPasswordFilter就是在这种风险环境下,给IT部门提供加强对风险密码的管理工具。

其原理大概如下:

1、修改注册表,将OpenPasswordFilter作为修改密码时的验证步骤

2、OpenPasswordFilter提供一个密码字典,对存在与字典里面的密码返回修改失败相关提示,达到禁止用户使用字典里面已存在的字符做为密码或部分密码的效果

3、IT管理员将已知的风险密码,每段一个,添加到OpenPasswordFilter的密码字典文件中(添加过程中需要停止服务运行)。


下面是具体部署步骤:

1、在AD服务器的所有GC角色中安装OPFInstaller.msi(也就是OpenPasswordFilter的程序),程序会自动将对应文件copy到systyem32文件夹下,添加注册表项,注册启动服务。

2、在默认安装目录中修改字典文件【C:\Program Files\OpenPasswordFilter\OpenPasswordFilter\opfcont.txt】并保存。

3、重启操作系统。



【重点提示】

在第1步安装完成后,最好检查对应文件、注册表项及服务安装情况,以免未成功配置导致的不生效。

1、【C:\Windows\system32】下会多出一个 【OpenPasswordFilter.dll】 文件;

2、注册表 【计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa】的多节字符串【Notification Packages】下会多出【OpenPasswordFilter】的值;

也可以使用命令行查询

REG QUERY "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "Notification Packages"

如反馈回以下信息,则是AD中默认的(/0是换行的意思):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    Notification Packages    REG_MULTI_SZ    rassfm\0scecli

命令行添加对应值(/0是换行的意思)(必须管理员权限):

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "Notification Packages" /t REG_MULTI_SZ /d "scecli\0OpenPasswordFilter" /f



3、服务列表里面会多出一个 OPF Service的服务(可能是未启动的状态,但是启动类型要是自动)。

如没有则在命令行执行以下命令(必须管理员权限):


sc create OPF binPath= "<full path to exe>\opfservice.exe" start= boot



特殊情况的处理】

1、用户需要修改成字典里已存在的密码,有特殊要求且已被批准的,可以临时停止 OPF Service服务,允许用户的修改指定的密码;

2、临时增加相关关键字,作为不允许作为密码的,可以临时停止 OPF Service服务,在打开字典文件进行操作。保存完成字典文件后再启动OPF Service服务。

3、服务无法正常启动,导致该项功能不可用的,可以使用原始安装程序进行修复安装。此服务为开源项目,相关服务启动并不需要关联第三方服务。这种情况下,并不会对之前的系统功能、需求、Windows组策略的密码安全配置产生任何影响。



本文由“朱增举 IT博客 > 管理员”整理编辑。


未注明为原创的文章以及每篇文章的评论内容都不代表本站观点,本站不对此内容的真实性及言论负责。如您发表评论意见,视为同意本站记录言论您的来源IP地址信息及发表时间。

上一篇

下一篇

如果喜欢这篇文章,欢迎订阅朱增举 IT博客以获得最新内容。

已经有 0 条群众意见