İnsan, bildiyiniz kimi, tənbəl məxluqdur.
Güclü parol seçməyə gəldikdə isə daha çox.
Düşünürəm ki, hər bir idarəçi yüngül və standart parollardan istifadə problemi ilə üzləşib. Bu fenomen tez-tez şirkət rəhbərliyinin yuxarı eşelonlarında baş verir. Bəli, bəli, məxfi və ya kommersiya məlumatlarına çıxışı olanlar arasında və parol sızması/sındırılması və sonrakı hadisələrin nəticələrini aradan qaldırmaq son dərəcə arzuolunmaz olardı.
Təcrübəmdə parol siyasəti aktivləşdirilmiş Active Directory domenində mühasiblər müstəqil olaraq “Pas$w0rd1234” kimi parolun siyasət tələblərinə mükəmməl uyğun gəldiyi qənaətinə gəldilər. Nəticə isə bu parolun hər yerdə geniş şəkildə istifadə olunması idi. Bəzən o, yalnız rəqəmlər dəsti ilə fərqlənirdi.
Mən, həqiqətən, yalnız parol siyasətini aktivləşdirmək və simvol dəstini müəyyən etmək deyil, həm də lüğətə görə filtrasiya etmək istəyirdim. Bu cür parollardan istifadə imkanını istisna etmək.
Microsoft lütfən link vasitəsilə bizə bildirir ki, kompilyatoru, IDE-ni əlində düzgün tutmağı bilən və C++ dilini düzgün tələffüz etməyi bilən hər kəs özünə lazım olan kitabxananı tərtib edib öz anlayışına uyğun istifadə edə bilər. Sənin təvazökar qulun buna qadir deyil, ona görə də mən hazır həll yolu axtarmalı oldum.
Uzun bir saatlıq axtarışdan sonra problemin həlli üçün iki variant ortaya çıxdı. Mən, əlbəttə ki, OpenSource həlli haqqında danışıram. Axı, pullu variantlar var - başdan sona.
Seçim nömrəsi 1.
Təxminən 2 ildir ki, heç bir öhdəlik yoxdur. Yerli quraşdırıcı hərdən işləyir, siz onu əl ilə düzəltməlisiniz. Öz ayrıca xidmətini yaradır. Parol faylını yeniləyərkən, DLL dəyişdirilmiş məzmunu avtomatik olaraq götürmür; siz xidməti dayandırmalı, fasilə gözləməli, faylı redaktə etməli və xidməti işə salmalısınız.
Buz yoxdur!
Seçim nömrəsi 2.
Layihə aktivdir, canlıdır və soyuq bədəni təpikləməyə belə ehtiyac yoxdur.
Süzgəcin quraşdırılması iki faylın surətinin çıxarılmasını və bir neçə reyestr qeydinin yaradılmasını nəzərdə tutur. Parol faylı kiliddə deyil, yəni redaktə etmək üçün mövcuddur və layihə müəllifinin fikrincə, sadəcə dəqiqədə bir dəfə oxunur. Həmçinin, əlavə reyestr qeydlərindən istifadə edərək, həm filtrin özünü, həm də parol siyasətinin nüanslarını daha da konfiqurasiya edə bilərsiniz.
Belə ki.
Verildi: Active Directory domeni test.local
Windows 8.1 sınaq iş stansiyası (problemin məqsədi üçün vacib deyil)
parol filtri PassFiltEx
- Ən son buraxılışı linkdən yükləyin
- Kopyala PassFiltEx.dll в C: WindowsSystem32 (Və ya %SystemRoot%System32).
Kopyala PassFiltExBlacklist.txt в C: WindowsSystem32 (Və ya %SystemRoot%System32). Lazım gələrsə, onu öz şablonlarımızla tamamlayırıq
- Reyestr şöbəsini redaktə etmək: HKLMSYSTEMCurrent ControlSetControlLsa => Bildiriş Paketləri
Əlavə edin PassFiltEx siyahının sonuna qədər. (Genişləndirmənin göstərilməsinə ehtiyac yoxdur.) Skanlama üçün istifadə edilən paketlərin tam siyahısı bu kimi görünəcək "rassfm scecli PassFiltEx".
- Domen nəzarətçisini yenidən başladın.
- Yuxarıdakı proseduru bütün domen nəzarətçiləri üçün təkrar edirik.
Siz həmçinin bu filtrdən istifadə etməkdə sizə daha çox rahatlıq verən aşağıdakı reyestr qeydlərini əlavə edə bilərsiniz:
Fəsil: HKLMSOFTWAREPassFiltEx — avtomatik yaradılır.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Defolt: PassFiltExBlacklist.txt
Qara siyahı fayl adı — parol şablonları olan fayla fərdi yol təyin etməyə imkan verir. Bu reyestr girişi boşdursa və ya mövcud deyilsə, standart yol istifadə olunur, yəni - %SystemRoot%System32. Siz hətta şəbəkə yolunu da təyin edə bilərsiniz, AMMA yadda saxlamaq lazımdır ki, şablon faylında oxumaq, yazmaq, silmək, dəyişmək üçün aydın icazələr olmalıdır.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Defolt: 60
TokenPercentageOfPassword — yeni parolda maskanın faizini təyin etməyə imkan verir. Varsayılan dəyər 60% -dir. Məsələn, əgər baş vermə faizi 60-dırsa və simli ulduz döyüşləri şablon faylındadırsa, parol Star Wars1! parol daxil olarkən rədd ediləcək starwars1!DarthVader88 paroldakı sətirin faizi 60%-dən az olduğu üçün qəbul ediləcək
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Defolt: 0
RequireCharClasses — standart ActiveDirectory parol mürəkkəbliyi tələbləri ilə müqayisədə parol tələblərini genişləndirməyə imkan verir. Daxili mürəkkəblik tələbləri 3 mümkün müxtəlif simvoldan 5-ü tələb edir: Böyük hərf, Kiçik hərf, Rəqəm, Xüsusi və Unicode. Bu reyestr qeydindən istifadə edərək, parol mürəkkəbliyi tələblərinizi təyin edə bilərsiniz. Müəyyən edilə bilən dəyər hər biri ikinin müvafiq gücü olan bitlər dəstidir.
Yəni 1 = kiçik hərf, 2 = böyük hərf, 4 = rəqəm, 8 = xüsusi simvol və 16 = Unicode simvolu.
Beləliklə, 7 dəyəri ilə tələblər "Böyük hərf" olacaq VƏ kiçik hərf VƏ rəqəm” və 31 dəyəri ilə - “Böyük hərf VƏ kiçik hərf VƏ rəqəmli VƏ xüsusi simvol VƏ Unicode simvolu."
Siz hətta birləşdirə bilərsiniz - 19 = “Böyük hərf VƏ kiçik hərf VƏ Unicode simvolu." -
Şablon faylı yaratarkən bir sıra qaydalar:
- Şablonlar hərflərə həssasdır. Beləliklə, fayl girişi Starwars и StarWarS eyni dəyər olduğu müəyyən ediləcək.
- Qara siyahı faylı hər 60 saniyədən bir yenidən oxunur, beləliklə siz onu asanlıqla redaktə edə bilərsiniz; bir dəqiqədən sonra yeni məlumatlar filtr tərəfindən istifadə olunacaq.
- Nümunə uyğunluğu üçün hazırda Unicode dəstəyi yoxdur. Yəni parollarda Unicode simvollarından istifadə edə bilərsiniz, lakin filtr işləməyəcək. Bu kritik deyil, çünki Unicode parollarından istifadə edən istifadəçiləri görməmişəm.
- Şablon faylında boş sətirlərə icazə verməmək məsləhətdir. Sazlamada siz fayldan məlumat yükləyərkən xətanı görə bilərsiniz. Filtr işləyir, amma niyə əlavə istisnalar var?
Sazlama üçün arxivdə jurnal yaratmağa və sonra onu təhlil etməyə imkan verən toplu faylları var, məsələn,
Bu parol filtri Windows üçün Hadisə İzləməsindən istifadə edir.
Bu parol filtri üçün ETW təminatçısıdır 07d83223-7594-4852-babc-784803fdf6c5. Beləliklə, məsələn, aşağıdakı yenidən başladıqdan sonra hadisə izləməni konfiqurasiya edə bilərsiniz:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Növbəti sistem yenidən işə salındıqdan sonra izləmə başlayacaq. Dayandırmaq:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Bütün bu əmrlər skriptlərdə göstərilmişdir StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Filtr əməliyyatını birdəfəlik yoxlamaq üçün istifadə edə bilərsiniz StartTracing.cmd и StopTracing.cmd.
Bu filtrin sazlama işini rahatlıqla oxumaq üçün Microsoft Mesaj Analizatorı Aşağıdakı parametrlərdən istifadə etmək tövsiyə olunur:
Giriş və təhlili dayandırarkən Microsoft Mesaj Analizatorı hər şey belə görünür:
Burada istifadəçi üçün parol təyin etmək cəhdinin olduğunu görə bilərsiniz - sehrli söz bizə bunu deyir SET debugda. Və parol şablon faylında olması və daxil edilmiş mətndə 30%-dən çox uyğunluğu səbəbindən rədd edildi.
Uğurlu parol dəyişdirmə cəhdi edilərsə, aşağıdakıları görürük:
Son istifadəçi üçün bəzi narahatlıqlar var. Şablon faylı siyahısına daxil edilmiş parolu dəyişməyə çalışdığınız zaman ekrandakı mesaj parol siyasəti qəbul edilmədikdə standart mesajdan fərqlənmir.
Buna görə də, zənglərə və qışqırıqlara hazır olun: "Mən parolu düzgün daxil etdim, amma işləmir."
Özet.
Bu kitabxana Active Directory domenində sadə və ya standart parolların istifadəsini qadağan etməyə imkan verir. “Yox!” deyək. parollar: "P@ssw0rd", "Qwerty123", "ADm1n098".
Bəli, şübhəsiz ki, istifadəçilər öz təhlükəsizliyinə bu qədər diqqət yetirdiyinizə və ağılları uçuran parollar tapmaq ehtiyacına görə sizi daha çox sevəcəklər. Və bəlkə də parolunuzla bağlı yardım üçün edilən zənglərin və sorğuların sayı artacaq. Ancaq təhlükəsizlik bir qiymətə gəlir.
İstifadə olunan resurslara keçidlər:
Fərdi parol filtr kitabxanası ilə bağlı Microsoft məqaləsi:
PassFiltEx:
Buraxılış linki:
Parol siyahıları:
DanielMiessler siyahıları:
zayıfpass.com saytından söz siyahısı:
berzerk0 repo-dan söz siyahısı:
Microsoft Mesaj Analizatoru:
Mənbə: www.habr.com