Приведенный ниже сценарий PowerShell можно использовать для составления списка всех учетных записей пользователей домена с ненадежными паролями в отчете о надежности паролей. Ненадежные пароли определяются на основе предопределенного списка, дублирующихся паролей, паролей по умолчанию, установленных администратором, и пустых паролей. Кроме того, вы можете получить нужную информацию без сценария PowerShell, используя средство Weak Password Finder - бесплатный инструмент, предлагаемый ManageEngine, который находит и отображает список пользователей с ненадежными паролями. Средство принудительного применения политики паролей от ADSelfService Plus помогает создать строгую политику паролей, тем самым предотвращая создание ненадежных паролей. Ниже приведено сравнение аудита надежности паролей учетных записей домена с использованием PowerShell и ADSelfService Plus:
| PowerShell | ADSelfService Plus |
|---|---|
|
Для создания этого сценария необходимо загрузить модуль DSInternals с сайта GitHub. Для проверки надежности паролей учетных записей пользователей применяется функция Test- PasswordQuality. Запустите следующий сценарий PowerShell для установки модуля DSInternals: Install-Module DSInternals Затем создайте текстовый файл со списком ненадежных паролей. Введите и запустите сценарий PowerShell, предоставленный ниже, чтобы создать отчет о надежности паролей. $Passwords = "$($ENV:USERProfile)\Desktop\passwords.txt" $Params = @{ "All" = $True "Server" = 'DC' |
Weak Password Finder помогает проверять надежность паролей учетных записей пользователей в Active Directory, сравнивая пароли пользователей с предварительно определенным списком наиболее часто используемых ненадежных паролей и создавая отчет о пользователях с ненадежными паролями, как показано ниже:  Помимо помощи в поиске пользователей с ненадежными паролями, средство принудительного применения политики паролей от ADSelfService Plus также может использоваться для создания настраиваемой политики паролей с правилами для предотвращения использования словарных паролей, шаблонов и т. д. для учетных записей пользователей в определенных доменах, группах или подразделениях организации. |
С помощью ADSelfService Plus проверить надежность паролей учетных записей пользователей и предотвратить создание таких паролей можно всего несколькими щелчками мышью. Но если вы используете PowerShell, вам необходимо создавать, отлаживать и запускать сценарии.
Инструмент Weak Password Finder содержит предварительно заданный список из более чем 100 000 наиболее часто используемых ненадежных паролей. Администраторы могут добавлять в этот список другие пароли, которые считаются распространенными или ненадежными. Тогда как в PowerShell администраторам необходимо самостоятельно создать список ненадежных паролей и указать путь к его файлу в сценарии.
В отчете о пользователях с ненадежными паролями указывается другая информация о пользователе, такая как sAMAccountName, отдел, подразделение, группа и т. д. Отчет также можно экспортировать в формат CSV. При использовании PowerShell в отчете будет показано только отображаемое имя учетной записи пользователя.
В ADSelfService Plus можно с легкостью создавать настраиваемые политики паролей. Правила политики паролей, которые можно задать, включают максимальную длину пароля, запрет на использование слов из словаря и палиндромов, а также указание минимального количества цифровых символов, специальных символов, строчных или заглавных букв, которые необходимо включить в пароль. Для создания таких правил также можно использовать PowerShell, но это требует обширных знаний в области написания сценариев.