windows password filters

Password Filter bir DLL' dir.  Kelimede geçen filtreler ise aslında DLL bütünüdür. Kullanıcı şifresini değiştirmeye kalktığı zaman sistem bu şifrenin plaintext halini "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages" dizini altında listelenen DLL lere tek tek göndererek kontrol eder. Bu kontrol şifrenin gereksinimlere uygun olup olmadığı yönündedir ( kompleks, uzunluk vb ). Yani sizde isterseniz kişisel bir şirket password politikası için bu bölüme DLL yazabilirsiniz.

 

Tabiki burada Password Filter için kullanılan DLL ler kötü amaçlı olarak yazılır ise bu plaintext halindeki şifreleri uzak sunuculara gönderilecek şekilde ayarlanabilir. Zaten bu nedenle GPO üzerinde şifrelerin plaintext olarak saklanmasını engellemek için "Passwords stored using reversible encryption" seçeneği varsayılan olarak disable geldiği gibi böylede kalmalıdır.

Not: GPO üzerindeki bu ayar varsayılan şekilde bırakıldığında yukarıdaki plaintext password store açığı ortadan kalkmış olur.