Como posso descobrir a política de complexidade da senha?

31

Um usuário tenta alterar sua senha em um domínio do Windows e isso não é aceito:

A senha fornecida não atende aos requisitos mínimos de complexidade

Como um usuário final pode descobrir quais são os requisitos? (A solução óbvia seria entrar em contato com a TI, mas digamos que não seja possível)

windows passwords active-directory policy Siim K
fonte
Se existe um AD, quem o gerencia e por que eles não podem ser contatados?
Dave M
2
@ Dave: é uma questão teórica :) Eu sou apenas curioso, se isso pode ser feito
Siim K
8
Nem sempre é tão teórico, tendo tentado ajudar um usuário final com esse problema exato quando o administrador do sistema estava de férias ... É uma falha de design bastante grande que o Windows não diz ao usuário quais são os requisitos de complexidade durante o processo de alteração de senha .
Brian Knoblauch

Respostas:

14

Todo usuário do AD pode ver o valor do atributo chamado " pwdProperties "; seu ID provavelmente está definido como "DOMAIN_PASSWORD_COMPLEX" (valor "1", inteiro).

O AdFind pode ser usado para recuperar muitos atributos relativos às senhas:

AdFind.exe -default -s base lockoutduration lockoutthreshold lockoutobservationwindow maxpwdage minpwdage minpwdlength pwdhistorylength pwdproperties

Aqui está um exemplo do que você obterá:

AdFind V01.45.00cpp Joe Richards ([email protected]) março de 2011

Usando o servidor: domain.example.org:389 Diretório: Windows Server 2008 R2 DN base: DC = domínio, DC = exemplo, DC = org

dn: DC = domínio, DC = exemplo, DC = org

lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -344736000000000
minPwdAge: 0
minPwdLength: 7
pwdProperties: 1
pwdHistoryLength: 2

1 Objetos retornados

Shadok
fonte
3
Informações sobre os requisitos de complexidade podem ser encontradas aqui: technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx
kroimon
2
Não tenho certeza se isso seria muito útil se o domínio estiver usando um filtro de senha personalizado. msdn.microsoft.com/pt-br/library/windows/desktop/ms721882.aspx
Zoredache
Para uma solução sem ferramentas de terceiros, veja abaixo !
Qw3ry
42

Este comando interno do Windows (use o interno do Prompt de Comando : cmd.exe) imprime os mesmos detalhes da ferramenta na resposta :

net accounts

Exemplo de saída:

C:\>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        WORKSTATION
The command completed successfully.

Créditos / fonte: http://windowsitpro.com/security/discovering-details-about-domains-password-policy

David Balažic
fonte
Você é o verdadeiro MVP. technet.microsoft.com/en-us/library/bb490698.aspx
HackSlash 25/01
7
Você deve adicionar que "/ domain" é necessário em um ambiente controlado pelo AD: "net accounts / domain"
HackSlash
@HackSlash O que você quer dizer? Minha estação de trabalho é membro de um domínio e o net accountscomando plain imprime todas as informações acima sem problemas.
David Balažic
Quando você usa, /domainvocê vê esta mensagem:The request will be processed at a domain controller for domain
HackSlash
4

Como é o AD, atualmente existe apenas um único padrão de complexidade (per se) disponível: o chamado padrão 3 de 4. É ativado ou desativado, a menos que você use uma ferramenta de terceiros como Spec Ops para impor algum outro nível de complexidade. Três de quatro significa que sua senha precisa incluir pelo menos um caractere de três dos quatro conjuntos de caracteres possíveis:

  1. CAIXA SUPERIOR
  2. minúsculas
  3. Numérico (0-9)
  4. Palavrões de quadrinhos (também conhecidos como caracteres especiais: !@#$%^&*(*))_+etc)
geoffc
fonte
1
De que versão do Windows você está falando? Existem seis parâmetros configuráveis ​​na Política de Senha padrão fornecida pelo AD.
HackSlash
O espaço também é considerado um personagem especial.
Brianary 21/05/19
-4

Não acredito, com exceção das tentativas de força bruta, que exista alguma maneira de fazer isso programaticamente, a menos que você já seja um administrador. Então, você terá que ligar para a TI. (Os padrões variam de acordo com o que foram configurados, embora se você souber que acho que poderia procurar os padrões e tentar. Não há garantia de que eles não foram alterados, é claro.)

Shinrai
fonte