Čovek je, kao što znate, lenjo stvorenje.
I još više kada je u pitanju odabir jake lozinke.
Mislim da se svaki administrator ikada suočio s problemom korištenja lakih i standardnih lozinki. Ovaj fenomen se često javlja među višim ešalonima menadžmenta kompanije. Da, da, upravo među onima koji imaju pristup tajnim ili komercijalnim informacijama i bilo bi krajnje nepoželjno otklanjati posljedice curenja lozinki/hakovanja i daljnjih incidenata.
U mojoj praksi, postojao je slučaj kada su, u domenu Active Directory sa omogućenom politikom lozinki, računovođe samostalno došli do ideje da lozinka poput “Pas$w0rd1234” savršeno odgovara zahtjevima politike. Posljedica je bila rasprostranjena upotreba ove lozinke posvuda. Ponekad se razlikovao samo po svom skupu brojeva.
Zaista sam želio da mogu ne samo omogućiti politiku lozinke i definirati skup znakova, već i filtrirati po rječniku. Da se isključi mogućnost korištenja takvih lozinki.
Microsoft nas ljubazno obavještava putem linka da svako ko zna kako da drži kompajler, IDE ispravno u rukama i zna pravilno izgovoriti C++, može kompajlirati potrebnu biblioteku i koristiti je prema vlastitom razumijevanju. Vaš ponizni sluga nije sposoban za ovo, pa sam morao tražiti gotovo rješenje.
Nakon dugog sata traženja, otkrile su se dvije opcije za rješavanje problema. Ja, naravno, govorim o OpenSource rešenju. Uostalom, postoje plaćene opcije - od početka do kraja.
Opcija broj 1.
Nije bilo urezivanja oko 2 godine. Nativni instalater radi s vremena na vrijeme, morate ga ispraviti ručno. Kreira vlastitu posebnu uslugu. Kada ažurirate datoteku lozinke, DLL ne preuzima automatski promijenjeni sadržaj; morate zaustaviti uslugu, sačekati vremensko ograničenje, urediti datoteku i pokrenuti uslugu.
Bez leda!
Opcija broj 2.
Projekat je aktivan, živ i nema potrebe čak ni šutnuti hladno tijelo.
Instaliranje filtera uključuje kopiranje dvije datoteke i kreiranje nekoliko unosa u registratoru. Datoteka lozinke nije zaključana, odnosno dostupna je za uređivanje i, prema zamisli autora projekta, jednostavno se čita jednom u minuti. Takođe, koristeći dodatne unose u registratoru, možete dalje konfigurisati i sam filter, pa čak i nijanse politike lozinki.
Onda, onda.
Dato: Active Directory domena test.local
Windows 8.1 testna radna stanica (nije važno za svrhu problema)
filter lozinki PassFiltEx
- Preuzmite najnovije izdanje sa linka
- Kopiraj PassFiltEx.dll в C: WindowsSystem32 (ili %SystemRoot%System32).
Kopiraj PassFiltExBlacklist.txt в C: WindowsSystem32 (ili %SystemRoot%System32). Ako je potrebno, dopunjavamo ga vlastitim predlošcima
- Uređivanje grane registra: HKLMSYSTEMCurrentControlSetControlLsa => Paketi obavijesti
Dodaj PassFiltEx do kraja liste. (Ne treba navesti ekstenziju.) Kompletna lista paketa koji se koriste za skeniranje će izgledati ovako “rassfm scecli PassFiltEx".
- Ponovo pokrenite kontroler domene.
- Ponavljamo gornji postupak za sve kontrolere domena.
Također možete dodati sljedeće stavke registra, što vam daje veću fleksibilnost u korištenju ovog filtera:
Poglavlje: HKLMSOFTWAREPassFiltEx — se kreira automatski.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName — omogućava vam da odredite prilagođenu putanju do datoteke sa predlošcima lozinke. Ako je ovaj unos u registrator prazan ili ne postoji, tada se koristi zadana staza, a to je - %SystemRoot%System32. Možete čak odrediti i mrežnu putanju, ALI morate zapamtiti da datoteka šablona mora imati jasne dozvole za čitanje, pisanje, brisanje, promjenu.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword — omogućava vam da odredite postotak maske u novoj lozinki. Zadana vrijednost je 60%. Na primjer, ako je postotak pojavljivanja 60 i niz starwars je u datoteci predloška, tada lozinka Starwars1! će biti odbijen dok lozinka starwars1!DarthVader88 bit će prihvaćen jer je postotak niza u lozinki manji od 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
RequireCharClasses — omogućava vam da proširite zahtjeve za lozinkom u odnosu na standardne zahtjeve složenosti lozinke ActiveDirectory. Ugrađeni zahtjevi složenosti zahtijevaju 3 od 5 mogućih različitih vrsta znakova: velika, mala, cifra, posebna i Unicode. Koristeći ovaj unos u registratoru, možete postaviti zahtjeve za složenost lozinke. Vrijednost koja se može specificirati je skup bitova, od kojih je svaki odgovarajući stepen dvojke.
To jest, 1 = mala slova, 2 = velika slova, 4 = cifra, 8 = specijalni znak i 16 = Unicode znak.
Dakle, sa vrijednošću od 7 zahtjevi bi bili "velika slova" I mala slova I cifra”, a sa vrijednošću od 31 - „velika slova I mala slova I cifra I poseban simbol I Unicode znak."
Možete čak i kombinirati - 19 = “Velika slova I mala slova I Unicode znak." -
Nekoliko pravila prilikom kreiranja datoteke šablona:
- Šabloni ne razlikuju velika i mala slova. Dakle, unos datoteke ratovi zvijezda и Ratovi zvijezda će biti utvrđeno da je ista vrijednost.
- Datoteka crne liste se ponovo čita svakih 60 sekundi, tako da je možete lako urediti; nakon jednog minuta filter će koristiti nove podatke.
- Trenutno ne postoji podrška za Unicode za podudaranje uzoraka. To jest, možete koristiti Unicode znakove u lozinkama, ali filter neće raditi. Ovo nije kritično, jer nisam vidio korisnike koji koriste Unicode lozinke.
- Preporučljivo je ne dozvoliti prazne redove u datoteci šablona. U debug-u možete vidjeti grešku prilikom učitavanja podataka iz datoteke. Filter radi, ali čemu dodatni izuzeci?
Za otklanjanje grešaka, arhiva sadrži batch fajlove koji vam omogućavaju da kreirate dnevnik, a zatim ga analizirate koristeći, na primer,
Ovaj filter lozinke koristi praćenje događaja za Windows.
ETW dobavljač za ovaj filter lozinke je 07d83223-7594-4852-babc-784803fdf6c5. Tako, na primjer, možete konfigurirati praćenje događaja nakon sljedećeg ponovnog pokretanja:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Praćenje će početi nakon sljedećeg ponovnog pokretanja sistema. Zaustaviti:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Sve ove naredbe su specificirane u skriptama StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Za jednokratnu provjeru rada filtera možete koristiti StartTracing.cmd и StopTracing.cmd.
Kako bi se zgodno pročitao ispuh za otklanjanje grešaka ovog filtera Microsoft Message Analyzer Preporučuje se korištenje sljedećih postavki:
Prilikom zaustavljanja prijavljivanja i raščlanjivanja Microsoft Message Analyzer sve izgleda otprilike ovako:
Ovdje možete vidjeti da je došlo do pokušaja postavljanja lozinke za korisnika - to nam govori magična riječ SET u otklanjanju grešaka. A lozinka je odbijena zbog prisustva u datoteci šablona i više od 30% podudaranja u unesenom tekstu.
Ako se napravi uspješan pokušaj promjene lozinke, vidimo sljedeće:
Postoje određene neugodnosti za krajnjeg korisnika. Kada pokušate da promenite lozinku koja je uključena u spisak datoteke šablona, poruka na ekranu se ne razlikuje od standardne poruke kada politika lozinke nije prosleđena.
Stoga, budite spremni na pozive i povike: "Unio sam lozinku ispravno, ali ne radi."
Rezultat.
Ova biblioteka vam omogućava da zabranite upotrebu jednostavnih ili standardnih lozinki u domenu Active Directory. Recimo "Ne!" lozinke poput: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Da, naravno, korisnici će vas još više voljeti jer vodite računa o njihovoj sigurnosti i potrebi da smišljate fantastične lozinke. A možda će se povećati broj poziva i zahtjeva za pomoć s vašom lozinkom. Ali sigurnost ima svoju cijenu.
Linkovi na korištene resurse:
Microsoftov članak o prilagođenoj biblioteci filtera lozinki:
PassFiltEx:
Link za izdavanje:
Liste lozinki:
DanielMiessler navodi:
Lista riječi sa slabepass.com:
Lista riječi iz berzerk0 repo:
Microsoftov analizator poruka:
izvor: www.habr.com