الإنسان، كما تعلمون، مخلوق كسول.
والأكثر من ذلك عندما يتعلق الأمر باختيار كلمة مرور قوية.
أعتقد أن كل مسؤول واجه مشكلة استخدام كلمات مرور خفيفة وقياسية. تحدث هذه الظاهرة غالبًا بين المستويات العليا لإدارة الشركة. نعم، نعم، على وجه التحديد بين أولئك الذين لديهم إمكانية الوصول إلى المعلومات السرية أو التجارية وسيكون من غير المرغوب فيه للغاية التخلص من عواقب تسرب كلمات المرور/القرصنة والحوادث الأخرى.
في ممارستي، كانت هناك حالة، في مجال Active Directory مع تمكين سياسة كلمة المرور، توصل المحاسبون بشكل مستقل إلى فكرة أن كلمة مرور مثل "Pas$w0rd1234" تناسب متطلبات السياسة تمامًا. وكانت النتيجة الاستخدام الواسع النطاق لكلمة المرور هذه في كل مكان. في بعض الأحيان كان يختلف فقط في مجموعة الأرقام الخاصة به.
أردت حقًا أن أكون قادرًا ليس فقط على تمكين سياسة كلمة المرور وتحديد مجموعة الأحرف، ولكن أيضًا التصفية حسب القاموس. لاستبعاد إمكانية استخدام كلمات المرور هذه.
تبلغنا Microsoft عبر الرابط أن أي شخص يعرف كيفية الاحتفاظ بالمترجم، IDE بشكل صحيح بين يديه ويعرف كيفية نطق C++ بشكل صحيح، قادر على تجميع المكتبة التي يحتاجها واستخدامها وفقًا لفهمه الخاص. إن خادمك المتواضع غير قادر على ذلك، لذا كان علي أن أبحث عن حل جاهز.
وبعد ساعة طويلة من البحث تم الكشف عن خيارين لحل المشكلة. أنا أتحدث بالطبع عن الحل المفتوح المصدر. بعد كل شيء، هناك خيارات مدفوعة - من البداية إلى النهاية.
الخيار رقم 1.
لم تكن هناك أي التزامات منذ عامين تقريبًا، ويعمل المثبت الأصلي بين الحين والآخر، ويجب عليك تصحيحه يدويًا. ينشئ خدمة منفصلة خاصة به. عند تحديث ملف كلمة المرور، لا يقوم ملف DLL تلقائيًا بالتقاط المحتوى الذي تم تغييره؛ فأنت بحاجة إلى إيقاف الخدمة، والانتظار لبعض الوقت، وتحرير الملف، وبدء الخدمة.
لا الجليد!
الخيار رقم 2.
المشروع نشط وحيوي ولا داعي حتى لركل الجسم البارد.
يتضمن تثبيت عامل التصفية نسخ ملفين وإنشاء عدة إدخالات تسجيل. ملف كلمة المرور ليس في قفل، أي أنه متاح للتحرير، ووفقًا لفكرة مؤلف المشروع، يتم قراءته ببساطة مرة واحدة في الدقيقة. أيضًا، باستخدام إدخالات التسجيل الإضافية، يمكنك تكوين عامل التصفية نفسه وحتى الفروق الدقيقة في سياسة كلمة المرور.
لذلك.
المعطى: test.local مجال الدليل النشط
محطة عمل اختبار Windows 8.1 (غير مهم لغرض المشكلة)
مرشح كلمة المرور PassFiltEx
- قم بتنزيل الإصدار الأخير من الرابط
- ينسخ PassFiltEx.dll в C: WindowsSystem32 (أو ٪ SYSTEMROOT٪ System32).
ينسخ PassFiltExBlacklist.txt в C: WindowsSystem32 (أو ٪ SYSTEMROOT٪ System32). إذا لزم الأمر، فإننا نكملها بالقوالب الخاصة بنا
- تحرير فرع التسجيل: HKLMSYSTEMCurrentControlSetControlLsa => حزم الإخطار
إضافة PassFiltEx إلى نهاية القائمة. (لا يلزم تحديد الامتداد.) ستبدو القائمة الكاملة للحزم المستخدمة للفحص كما يلي "rassfm scecli PassFiltEx".
- أعد تشغيل وحدة تحكم المجال.
- نكرر الإجراء أعلاه لجميع وحدات تحكم المجال.
يمكنك أيضًا إضافة إدخالات التسجيل التالية، مما يمنحك المزيد من المرونة في استخدام عامل التصفية هذا:
القسم: HKLMSOFTWAREPassFiltEx - يتم إنشاؤه تلقائيًا.
- HKLMSOFTWAREPassFiltExBlacklistFileName، REG_SZ، الافتراضي: PassFiltExBlacklist.txt
اسم القائمة السوداء - يسمح لك بتحديد مسار مخصص لملف باستخدام قوالب كلمة المرور. إذا كان إدخال التسجيل هذا فارغًا أو غير موجود، فسيتم استخدام المسار الافتراضي، وهو - ٪ SYSTEMROOT٪ System32. يمكنك أيضًا تحديد مسار الشبكة، ولكن عليك أن تتذكر أن ملف القالب يجب أن يتمتع بأذونات واضحة للقراءة والكتابة والحذف والتغيير.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword، REG_DWORD، الافتراضي: 60
النسبة المئوية للرمز المميز لكلمة المرور - يسمح لك بتحديد النسبة المئوية للقناع في كلمة المرور الجديدة. القيمة الافتراضية هي 60%. على سبيل المثال، إذا كانت نسبة التكرار هي 60 وكانت سلسلة starwars موجودة في ملف القالب، فستكون كلمة المرور حرب النجوم 1! سيتم رفض بينما كلمة المرور حرب النجوم 1!دارث فيدر88 سيتم قبوله لأن نسبة السلسلة في كلمة المرور أقل من 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses، REG_DWORD، الافتراضي: 0
RequireCharClasses - يسمح لك بتوسيع متطلبات كلمة المرور مقارنةً بمتطلبات تعقيد كلمة مرور ActiveDirectory القياسية. تتطلب متطلبات التعقيد المضمنة 3 من 5 أنواع مختلفة من الأحرف: الأحرف الكبيرة والصغيرة والرقمية والخاصة واليونيكود. باستخدام إدخال التسجيل هذا، يمكنك تعيين متطلبات تعقيد كلمة المرور الخاصة بك. القيمة التي يمكن تحديدها هي مجموعة من البتات، كل منها عبارة عن قوة مقابلة تبلغ اثنين.
أي 1 = حرف صغير، 2 = حرف كبير، 4 = رقم، 8 = حرف خاص، و16 = حرف Unicode.
إذن مع القيمة 7 ستكون المتطلبات "حالة كبيرة" لأي لبس أحرف صغيرة لأي لبس رقم"، وبقيمة 31 - "الأحرف الكبيرة لأي لبس أحرف صغيرة لأي لبس شخصية لأي لبس رمز خاص لأي لبس حرف يونيكود."
يمكنك أيضًا الجمع بين - 19 = "الأحرف الكبيرة لأي لبس أحرف صغيرة لأي لبس حرف يونيكود." -
عدد من القواعد عند إنشاء ملف القالب:
- القوالب غير حساسة لحالة الأحرف. ولذلك، فإن إدخال الملف حرب النجوم и حرب النجوم سيتم تحديدها لتكون نفس القيمة.
- تتم إعادة قراءة ملف القائمة السوداء كل 60 ثانية، حتى تتمكن من تحريره بسهولة؛ وبعد دقيقة، سيتم استخدام البيانات الجديدة بواسطة عامل التصفية.
- لا يوجد حاليًا دعم Unicode لمطابقة الأنماط. أي أنه يمكنك استخدام أحرف Unicode في كلمات المرور، لكن عامل التصفية لن يعمل. هذا ليس بالأمر الحاسم، لأنني لم أر مستخدمين يستخدمون كلمات مرور Unicode.
- يُنصح بعدم السماح بالأسطر الفارغة في ملف القالب. في التصحيح، يمكنك بعد ذلك رؤية خطأ عند تحميل البيانات من ملف. عامل التصفية يعمل، ولكن لماذا الاستثناءات الإضافية؟
لتصحيح الأخطاء، يحتوي الأرشيف على ملفات دفعية تسمح لك بإنشاء سجل ثم تحليله باستخدام، على سبيل المثال،
يستخدم عامل تصفية كلمة المرور تتبع الأحداث لنظام التشغيل Windows.
موفر ETW لمرشح كلمة المرور هذا هو 07d83223-7594-4852-babc-784803fdf6c5. لذلك، على سبيل المثال، يمكنك تكوين تتبع الأحداث بعد إعادة التشغيل التالية:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
سيبدأ التتبع بعد إعادة تشغيل النظام التالية. للتوقف:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
يتم تحديد كل هذه الأوامر في البرامج النصية StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
للتحقق لمرة واحدة من عملية التصفية، يمكنك استخدام StartTracing.cmd и StopTracing.cmd.
من أجل قراءة عادم تصحيح الأخطاء لهذا الفلتر بشكل ملائم مايكروسوفت رسالة محلل يوصى باستخدام الإعدادات التالية:
عند إيقاف تسجيل الدخول والتحليل مايكروسوفت رسالة محلل كل شيء يبدو مثل هذا:
هنا يمكنك أن ترى أن هناك محاولة لتعيين كلمة مرور للمستخدم - الكلمة السحرية تخبرنا بذلك طقم في التصحيح. وتم رفض كلمة المرور لوجودها في ملف القالب وتطابقها بنسبة تزيد عن 30% في النص المدخل.
إذا تمت محاولة تغيير كلمة المرور بنجاح، فسنرى ما يلي:
هناك بعض الإزعاج للمستخدم النهائي. عند محاولة تغيير كلمة المرور المضمنة في قائمة ملفات القوالب، لا تختلف الرسالة التي تظهر على الشاشة عن الرسالة القياسية عندما لا يتم تمرير سياسة كلمة المرور.
لذلك كن مستعدًا للمكالمات والصراخ: "لقد أدخلت كلمة المرور بشكل صحيح، لكنها لا تعمل".
ملخص.
تتيح لك هذه المكتبة حظر استخدام كلمات المرور البسيطة أو القياسية في مجال Active Directory. دعنا نقول "لا!" كلمات المرور مثل: "P@ssw0rd"، "Qwerty123"، "ADm1n098".
نعم، بالطبع، سيحبك المستخدمون أكثر لاهتمامك بأمنهم وحاجتهم إلى ابتكار كلمات مرور مذهلة. وربما يزداد عدد المكالمات وطلبات المساعدة بشأن كلمة المرور الخاصة بك. لكن الأمن يأتي بثمن.
روابط للموارد المستخدمة:
مقالة عن Microsoft بخصوص مكتبة تصفية كلمات المرور المخصصة:
باسفيلتيكس:
رابط الإصدار:
قوائم كلمات المرور:
قوائم دانييل ميسلر:
قائمة الكلمات من موقع ضعيف:
قائمة الكلمات من berzerk0 repo:
محلل رسائل مايكروسوفت:
المصدر: www.habr.com