ሰው እንደሚታወቀው ሰነፍ ፍጡር ነው።
እና የበለጠ ጠንካራ የይለፍ ቃል ለመምረጥ ሲመጣ.
እያንዳንዱ አስተዳዳሪ ቀላል እና መደበኛ የይለፍ ቃሎችን የመጠቀም ችግር አጋጥሞታል ብዬ አስባለሁ። ይህ ክስተት ብዙውን ጊዜ በከፍተኛ የኩባንያ አስተዳደር አካላት መካከል ይከሰታል። አዎ፣ አዎ፣ ሚስጥራዊ ወይም የንግድ መረጃዎችን ከሚያገኙት መካከል እና የይለፍ ቃል መጥፋት/ጠለፋ እና ተጨማሪ ክስተቶችን መዘዝ ማስወገድ በጣም የማይፈለግ ነው።
በእኔ ልምምድ፣ በActive Directory ጎራ ውስጥ የይለፍ ቃል ፖሊሲ የነቃበት፣ የሒሳብ ባለሙያዎች እራሳቸውን ችለው እንደ “Pas$w0rd1234” ያለ የይለፍ ቃል የመመሪያ መስፈርቶችን በትክክል የሚያሟላ ወደሚለው ሀሳብ የመጣበት አጋጣሚ ነበር። ውጤቱም በሁሉም ቦታ ይህንን የይለፍ ቃል በስፋት መጠቀም ነበር። አንዳንድ ጊዜ የሚለየው በቁጥር ስብስብ ብቻ ነው።
የይለፍ ቃል ፖሊሲን ማንቃት እና የቁምፊ ስብስብን መግለጽ ብቻ ሳይሆን በመዝገበ-ቃላት ማጣራትም መቻል ፈልጌ ነበር። እንደዚህ አይነት የይለፍ ቃሎችን የመጠቀም እድልን ለማስቀረት.
ማይክሮሶፍት ኮምፕለርን እንዴት መያዝ እንዳለበት የሚያውቅ አይዲኢ በእጃቸው በትክክል እንዴት እንደሚይዝ የሚያውቅ እና C++ን በትክክል መጥራት የሚያውቅ ሰው የሚያስፈልጋቸውን ቤተመጻሕፍት አዘጋጅቶ እንደራሳቸው ግንዛቤ ሊጠቀሙበት እንደሚችሉ በትህትና ያሳውቀናል። ትሑት አገልጋይህ ለዚህ አቅም የለውም፣ ስለዚህ ዝግጁ የሆነ መፍትሔ መፈለግ ነበረብኝ።
ከረዥም ሰዓት ፍለጋ በኋላ ችግሩን ለመፍታት ሁለት አማራጮች ተገለጡ. እኔ በእርግጥ ስለ OpenSource መፍትሔ እያወራሁ ነው። ከሁሉም በላይ, የሚከፈልባቸው አማራጮች አሉ - ከመጀመሪያው እስከ መጨረሻ.
አማራጭ ቁጥር 1
ለ 2 ዓመታት ያህል ምንም ቁርጠኝነት አልተደረገም ። ቤተኛ ጫኚው አልፎ አልፎ ይሰራል ፣ በእጅ ማረም አለብዎት። የራሱን የተለየ አገልግሎት ይፈጥራል። የይለፍ ቃል ፋይሉን በሚያዘምንበት ጊዜ ዲኤልኤል የተለወጠውን ይዘት በራስ-ሰር አያነሳም፤ አገልግሎቱን ማቆም፣ የተወሰነ ጊዜ መጠበቅ፣ ፋይሉን ማርትዕ እና አገልግሎቱን መጀመር ያስፈልግዎታል።
በረዶ የለም!
አማራጭ ቁጥር 2
ፕሮጀክቱ ንቁ, ህያው ነው እና ቀዝቃዛውን አካል ለመምታት እንኳን አያስፈልግም.
ማጣሪያውን መጫን ሁለት ፋይሎችን መቅዳት እና በርካታ የመመዝገቢያ ምዝግቦችን መፍጠርን ያካትታል. የይለፍ ቃል ፋይሉ በመቆለፊያ ውስጥ አይደለም ፣ ማለትም ፣ ለማርትዕ ይገኛል እና እንደ የፕሮጀክቱ ደራሲ ሀሳብ ፣ በቀላሉ በደቂቃ አንድ ጊዜ ይነበባል። እንዲሁም ተጨማሪ የመመዝገቢያ ግቤቶችን በመጠቀም ማጣሪያውን እራሱ እና የይለፍ ቃል መመሪያውን እንኳን ማዋቀር ይችላሉ።
እንግዲያውስ.
የተሰጠው፡ Active Directory domain test.local
የዊንዶውስ 8.1 የሙከራ ሥራ ጣቢያ (ለችግሩ ዓላማ አስፈላጊ አይደለም)
የይለፍ ቃል ማጣሪያ PassFiltEx
- የቅርብ ጊዜውን ልቀት ከአገናኙ ያውርዱ
- ቅዳ PassFiltEx.dll в ሐ: WindowsSystem32 (ወይም %SystemRoot%System32).
ቅዳ PassFiltExBlacklist.txt в ሐ: WindowsSystem32 (ወይም %SystemRoot%System32). አስፈላጊ ከሆነ በራሳችን አብነቶች እንጨምረዋለን
- የመመዝገቢያ ቅርንጫፍን ማስተካከል; HKLMSYSTEMCurrentControlSetControlLsa => የማሳወቂያ ፓኬጆች
ያክሉ PassFiltEx እስከ ዝርዝሩ መጨረሻ ድረስ. (ቅጥያው መገለጽ አያስፈልገውም።) ለመቃኘት የሚያገለግሉ የጥቅሎች ዝርዝር ይህን ይመስላል።rassfm scecli PassFiltEx".
- የጎራ መቆጣጠሪያውን እንደገና ያስነሱ።
- ለሁሉም የጎራ ተቆጣጣሪዎች ከላይ ያለውን አሰራር እንደግማለን.
እንዲሁም የሚከተሉትን የመመዝገቢያ ግቤቶች ማከል ይችላሉ፣ ይህም ይህን ማጣሪያ ለመጠቀም የበለጠ ተለዋዋጭነት ይሰጥዎታል፡
ምዕራፍ፡- HKLMSOFTWAREPassFiltEx - በራስ-ሰር ይፈጠራል።
- HKLMSOFTWAREPassFiltExBlacklistየፋይል ስም፣ REG_SZ፣ ነባሪ፡ PassFiltExBlacklist.txt
የተከለከሉ የፋይል ስም - በይለፍ ቃል አብነቶች ወደ ፋይል ብጁ መንገድ እንዲገልጹ ያስችልዎታል። ይህ የመመዝገቢያ መግቢያ ባዶ ከሆነ ወይም ከሌለ ነባሪው ዱካ ጥቅም ላይ ይውላል ፣ እሱም - %SystemRoot%System32. የአውታረ መረብ ዱካ እንኳን መግለጽ ይችላሉ ፣ ግን የአብነት ፋይሉ ለማንበብ ፣ ለመፃፍ ፣ ለመሰረዝ እና ለመለወጥ ግልፅ ፍቃዶች ሊኖረው እንደሚገባ ማስታወስ ያስፈልግዎታል።
- HKLMSOFTWAREPassFiltExTokenየይለፍ ቃል መቶኛ፣ REG_DWORD፣ ነባሪ፡ 60
Tokenየይለፍ ቃል መቶኛ - በአዲሱ የይለፍ ቃል ውስጥ የማስክን መቶኛ እንዲገልጹ ያስችልዎታል። ነባሪው ዋጋ 60% ነው. ለምሳሌ፣ የመቶኛ ክስተቱ 60 ከሆነ እና string starwars በአብነት ፋይሉ ውስጥ ካለ፣ ከዚያ የይለፍ ቃሉ ስታርዋርስ1! የይለፍ ቃል በሚሆንበት ጊዜ ውድቅ ይደረጋል starwars1!ዳርትቫደር88 በይለፍ ቃል ውስጥ ያለው የሕብረቁምፊው መቶኛ ከ60% ያነሰ ስለሆነ ተቀባይነት ይኖረዋል
- HKLMSOFTWAREPassFiltExRequireCharClass፣ REG_DWORD፣ ነባሪ፡ 0
የCharClass ያስፈልጋል — ከመደበኛው ActiveDirectory የይለፍ ቃል ውስብስብነት መስፈርቶች ጋር ሲነጻጸር የይለፍ ቃል መስፈርቶችን እንድታሰፋ ይፈቅድልሃል። አብሮገነብ ውስብስብነት መስፈርቶች ከ3ቱ ሊሆኑ ከሚችሉ የተለያዩ የቁምፊ ዓይነቶች 5ቱን ይፈልጋሉ፡ አቢይ ሆሄያት፣ ታችኛው ሆሄያት፣ ዲጂት፣ ልዩ እና ዩኒኮድ። ይህንን የመመዝገቢያ ግቤት በመጠቀም የይለፍ ቃልዎን ውስብስብነት መስፈርቶች ማዘጋጀት ይችላሉ። ሊገለጽ የሚችለው እሴት የቢትስ ስብስብ ነው, እያንዳንዳቸው የሁለት ተጓዳኝ ኃይል ናቸው.
ማለትም 1 = ንዑስ ሆሄ፣ 2 = አቢይ ሆሄ፣ 4 = አሃዝ፣ 8 = ልዩ ቁምፊ እና 16 = የዩኒኮድ ቁምፊ።
ስለዚህ በ 7 ዋጋ መስፈርቶቹ “የላይኛው ጉዳይ” ይሆናሉ። እና ንዑስ ሆሄያት እና አሃዝ", እና ከ 31 እሴት ጋር - "የላይኛው መያዣ እና ትንሽ ፊደል እና አሀዝ እና ልዩ ምልክት እና የዩኒኮድ ቁምፊ"
እንዲያውም ማዋሃድ ይችላሉ - 19 = “የላይኛው መያዣ እና ትንሽ ፊደል እና የዩኒኮድ ቁምፊ" -
የአብነት ፋይል ሲፈጥሩ በርካታ ደንቦች፡-
- አብነቶች ጉዳዩ የማይሰማቸው ናቸው። ስለዚህ, የፋይል ግቤት ስታር ዋርስ и ስታር ዋርስ ተመሳሳይ እሴት ይወሰናል.
- የጥቁር መዝገብ መዝገብ በየ60 ሰከንድ በድጋሚ ይነበባል፣ ስለዚህ በቀላሉ አርትዕ ማድረግ ይችላሉ፣ ከአንድ ደቂቃ በኋላ አዲሱ መረጃ በማጣሪያው ጥቅም ላይ ይውላል።
- ለስርዓተ ጥለት ማመሳሰል የዩኒኮድ ድጋፍ በአሁኑ ጊዜ የለም። በይለፍ ቃል ውስጥ የዩኒኮድ ቁምፊዎችን መጠቀም ይችላሉ, ነገር ግን ማጣሪያው አይሰራም. ይህ ወሳኝ አይደለም፣ ምክንያቱም የዩኒኮድ ይለፍ ቃል የሚጠቀሙ ተጠቃሚዎችን አላየሁም።
- በአብነት ፋይል ውስጥ ባዶ መስመሮችን ላለመፍቀድ ጥሩ ነው. በማረም ውስጥ ከፋይል ላይ ውሂብ ሲጭኑ ስህተት ማየት ይችላሉ. ማጣሪያው ይሰራል፣ ግን ለምን ተጨማሪ ልዩ ሁኔታዎች?
ለማረም ማህደሩ ሎግ እንዲፈጥሩ እና እንዲተነተኑ የሚፈቅዱ ባች ፋይሎችን ይዟል ለምሳሌ፡-
ይህ የይለፍ ቃል ማጣሪያ ለዊንዶውስ ክስተት መከታተያ ይጠቀማል።
የዚህ የይለፍ ቃል ማጣሪያ ETW አቅራቢ ነው። 07d83223-7594-4852-babc-784803fdf6c5. ስለዚህ፣ ለምሳሌ፣ ከሚከተለው ዳግም ማስነሳት በኋላ የክስተት ፍለጋን ማዋቀር ትችላለህ፡-
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
የሚቀጥለው ስርዓት ዳግም ከተጀመረ በኋላ መከታተል ይጀምራል። ለመቆም:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
እነዚህ ሁሉ ትዕዛዞች በስክሪፕቶች ውስጥ ተገልጸዋል StartTracingAtBoot.cmd и መከታተል አቁምAtBoot.cmd.
የማጣሪያውን አሠራር ለአንድ ጊዜ ማረጋገጥ, መጠቀም ይችላሉ StartTracing.cmd и መከታተያ አቁም.cmd.
የዚህን ማጣሪያ ማረም በተመጣጣኝ ሁኔታ ለማንበብ Microsoft Message Analyzer የሚከተሉትን ቅንብሮች ለመጠቀም ይመከራል.
መግባት ሲያቆም እና ሲተነተን Microsoft Message Analyzer ሁሉም ነገር እንደዚህ ይመስላል
እዚህ ለተጠቃሚው የይለፍ ቃል ለማዘጋጀት ሙከራ እንደነበረ ማየት ይችላሉ - አስማታዊው ቃል ይህን ይነግረናል አዘጋጅ በማረም ውስጥ. እና የይለፍ ቃሉ በአብነት ፋይሉ ውስጥ በመገኘቱ እና በገባው ጽሑፍ ውስጥ ከ30% በላይ በመዛመዱ ምክንያት ውድቅ ተደርጓል።
የተሳካ የይለፍ ቃል ለመቀየር ከተሞከረ የሚከተለውን እናያለን፡-
ለዋና ተጠቃሚ አንዳንድ ችግሮች አሉ። በአብነት ፋይል ዝርዝር ውስጥ የተካተተ የይለፍ ቃል ለመቀየር ሲሞክሩ፣ በስክሪኑ ላይ ያለው መልእክት የይለፍ ቃል ፖሊሲው ካልተላለፈ ከመደበኛው መልእክት የተለየ አይሆንም።
ስለዚህ ለጥሪዎች እና ጩኸቶች ተዘጋጁ: "የይለፍ ቃል በትክክል አስገባሁ, ግን አይሰራም."
ውጤቱ ፡፡
ይህ ቤተ-መጽሐፍት በActive Directory ጎራ ውስጥ ቀላል ወይም መደበኛ የይለፍ ቃላትን መጠቀም እንድትከለክል ይፈቅድልሃል። "አይሆንም!" እንደ “P@ssw0rd”፣ “Qwerty123”፣ “ADm1n098” ያሉ የይለፍ ቃላት።
አዎን፣ በእርግጥ ተጠቃሚዎች ለደህንነታቸው እንክብካቤ እና አእምሯዊ የይለፍ ቃሎችን ስለመፈለግዎ የበለጠ ይወዳሉ። እና፣ ምናልባት፣ በይለፍ ቃልዎ ላይ የጥሪዎች እና የእርዳታ ጥያቄዎች ቁጥር ይጨምራል። ደህንነት ግን ዋጋ ያስከፍላል።
ጥቅም ላይ የዋሉ ግብዓቶች አገናኞች፡-
ብጁ የይለፍ ቃል ማጣሪያ ቤተ-መጽሐፍትን በተመለከተ የማይክሮሶፍት መጣጥፍ፡-
PassFiltEx፡
የልቀት አገናኝ፡-
የይለፍ ቃል ዝርዝሮች፡-
ዳንኤል ሚስለር ይዘረዝራል፡-
የቃላት ዝርዝር ከ ደካማpass.com፡
የቃላት ዝርዝር ከ berzerk0 repo፡
የማይክሮሶፍት መልእክት ተንታኝ፡-
ምንጭ: hab.com