L'home, com sabeu, és una criatura mandrosa.
I encara més quan es tracta d'escollir una contrasenya segura.
Crec que tots els administradors s'han enfrontat mai al problema d'utilitzar contrasenyes lleugeres i estàndard. Aquest fenomen es produeix sovint entre els nivells més alts de la direcció de l'empresa. Sí, sí, precisament entre els que tenen accés a informació secreta o comercial i seria extremadament indesitjable eliminar les conseqüències de filtracions/pirateria de contrasenyes i altres incidents.
A la meva pràctica, hi va haver un cas en què, en un domini d'Active Directory amb una política de contrasenyes activada, els comptables van arribar a la idea de manera independent que una contrasenya com "Pas$w0rd1234" s'ajusta perfectament als requisits de la política. La conseqüència va ser l'ús generalitzat d'aquesta contrasenya arreu. De vegades només es diferenciava en el seu conjunt de números.
Tenia moltes ganes de poder no només habilitar una política de contrasenyes i definir un conjunt de caràcters, sinó també filtrar per diccionari. Per excloure la possibilitat d'utilitzar aquestes contrasenyes.
Microsoft ens informa amablement mitjançant l'enllaç que qualsevol persona que sàpiga tenir un compilador, un IDE correctament a les seves mans i sàpiga pronunciar correctament C++, pot compilar la biblioteca que necessita i utilitzar-la segons el seu propi coneixement. El vostre humil servent no és capaç d'això, així que vaig haver de buscar una solució ja feta.
Després d'una llarga hora de recerca, es van revelar dues opcions per resoldre el problema. Per descomptat, estic parlant de la solució OpenSource. Després de tot, hi ha opcions de pagament, de principi a fi.
Opció número 1.
Fa uns 2 anys que no hi ha commits. L'instal·lador natiu funciona de tant en tant, l'has de corregir manualment. Crea el seu propi servei independent. Quan actualitzeu un fitxer de contrasenya, la DLL no recull automàticament el contingut canviat; heu d'aturar el servei, esperar un temps d'espera, editar el fitxer i iniciar el servei.
Sense gel!
Opció número 2.
El projecte és actiu, viu i no cal ni donar una puntada de peu al cos fred.
La instal·lació del filtre implica copiar dos fitxers i crear diverses entrades de registre. El fitxer de contrasenyes no està en un bloqueig, és a dir, està disponible per a l'edició i, segons la idea de l'autor del projecte, simplement es llegeix una vegada per minut. A més, utilitzant entrades addicionals del registre, podeu configurar encara més tant el propi filtre com fins i tot els matisos de la política de contrasenyes.
Així.
Donat: domini Active Directory test.local
Estació de treball de prova de Windows 8.1 (no és important per al propòsit del problema)
filtre de contrasenya PassFiltEx
- Descarrega l'última versió des de l'enllaç
- Còpia PassFiltEx.dll в C: WindowsSystem32 (O %SystemRoot%System32).
Còpia PassFiltExBlacklist.txt в C: WindowsSystem32 (O %SystemRoot%System32). Si cal, ho complementem amb les nostres pròpies plantilles
- Editant la branca del registre: HKLMSYSTEMCurrentControlSetControlLsa => Paquets de notificació
Afegiu PassFiltEx fins al final de la llista. (No cal especificar l'extensió.) La llista completa de paquets utilitzats per a l'escaneig serà així "rassfm scecli PassFiltEx".
- Reinicieu el controlador de domini.
- Repetim el procediment anterior per a tots els controladors de domini.
També podeu afegir les entrades de registre següents, la qual cosa us ofereix més flexibilitat a l'hora d'utilitzar aquest filtre:
Capítol: HKLMSOFTWAREPassFiltEx — es crea automàticament.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Per defecte: PassFiltExBlacklist.txt
Llista negraFileName — us permet especificar una ruta personalitzada a un fitxer amb plantilles de contrasenya. Si aquesta entrada del registre està buida o no existeix, s'utilitza el camí predeterminat, que és - %SystemRoot%System32. Fins i tot podeu especificar una ruta de xarxa, PERÒ heu de recordar que el fitxer de plantilla ha de tenir permisos clars per llegir, escriure, suprimir i canviar.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Per defecte: 60
TokenPercentageOfPassword — us permet especificar el percentatge de la màscara a la contrasenya nova. El valor predeterminat és 60%. Per exemple, si el percentatge d'ocurrència és 60 i la cadena starwars es troba al fitxer de plantilla, la contrasenya Starwars 1! serà rebutjat mentre la contrasenya starwars1!DarthVader88 s'acceptarà perquè el percentatge de la cadena de la contrasenya és inferior al 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Per defecte: 0
RequireCharClasses — us permet ampliar els requisits de contrasenya en comparació amb els requisits de complexitat de contrasenya estàndard d'ActiveDirectory. Els requisits de complexitat integrats requereixen 3 dels 5 tipus de caràcters diferents possibles: majúscules, minúscules, dígits, especials i Unicode. Amb aquesta entrada de registre, podeu establir els requisits de complexitat de la contrasenya. El valor que es pot especificar és un conjunt de bits, cadascun dels quals és una potència corresponent de dos.
És a dir, 1 = minúscula, 2 = majúscula, 4 = dígit, 8 = caràcter especial i 16 = caràcter Unicode.
Per tant, amb un valor de 7, els requisits serien "majúscules" I minúscula I dígit", i amb un valor de 31 - "Majúscula I minúscula I figura I símbol especial I Caràcter Unicode."
Fins i tot podeu combinar - 19 = "Majúscula I minúscula I Caràcter Unicode." -
Una sèrie de regles a l'hora de crear un fitxer de plantilla:
- Les plantilles no distingeixen entre majúscules i minúscules. Per tant, l'entrada del fitxer guerra de les galàxies и Guerra de les galàxies es determinarà que té el mateix valor.
- El fitxer de la llista negra es torna a llegir cada 60 segons, de manera que podeu editar-lo fàcilment; després d'un minut, les dades noves seran utilitzades pel filtre.
- Actualment no hi ha suport Unicode per a la concordança de patrons. És a dir, podeu utilitzar caràcters Unicode a les contrasenyes, però el filtre no funcionarà. Això no és crític, perquè no he vist usuaris que utilitzin contrasenyes Unicode.
- És recomanable no permetre línies buides al fitxer de plantilla. A la depuració, podeu veure un error en carregar dades d'un fitxer. El filtre funciona, però per què les excepcions addicionals?
Per a la depuració, l'arxiu conté fitxers per lots que us permeten crear un registre i després analitzar-lo mitjançant, per exemple,
Aquest filtre de contrasenya utilitza el seguiment d'esdeveniments per a Windows.
El proveïdor ETW d'aquest filtre de contrasenya és 07d83223-7594-4852-babc-784803fdf6c5. Així, per exemple, podeu configurar el seguiment d'esdeveniments després del reinici següent:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
El seguiment començarà després del proper reinici del sistema. Parar:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Totes aquestes ordres s'especifiquen als scripts StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Per a una comprovació única del funcionament del filtre, podeu utilitzar StartTracing.cmd и StopTracing.cmd.
Per llegir còmodament l'escapament de depuració d'aquest filtre Analitzador de missatges de Microsoft Es recomana utilitzar la configuració següent:
Quan s'atura la sessió i l'anàlisi Analitzador de missatges de Microsoft tot sembla una cosa així:
Aquí podeu veure que hi ha hagut un intent d'establir una contrasenya per a l'usuari; la paraula màgica ens ho diu SET en depuració. I la contrasenya va ser rebutjada per la seva presència al fitxer de plantilla i més d'un 30% de coincidència en el text introduït.
Si s'intenta amb èxit el canvi de contrasenya, veurem el següent:
Hi ha alguns inconvenients per a l'usuari final. Quan intenteu canviar una contrasenya que s'inclou a la llista de fitxers de plantilles, el missatge a la pantalla no és diferent del missatge estàndard quan no s'aprova la política de contrasenyes.
Per tant, estigueu preparats per a trucades i crits: "He introduït la contrasenya correctament, però no funciona".
Resum.
Aquesta biblioteca us permet prohibir l'ús de contrasenyes simples o estàndard en un domini d'Active Directory. Diguem "No!" contrasenyes com: "P@ssw0rd", "Qwerty123", "ADm1n098".
Sí, per descomptat, els usuaris us estimaran encara més per tenir tanta cura de la seva seguretat i la necessitat de crear contrasenyes al·lucinants. I, potser, augmentarà el nombre de trucades i sol·licituds d'ajuda amb la vostra contrasenya. Però la seguretat té un preu.
Enllaços als recursos utilitzats:
Article de Microsoft sobre una biblioteca de filtres de contrasenyes personalitzada:
PassFiltEx:
Enllaç de llançament:
Llistes de contrasenyes:
DanielMiessler enumera:
Llista de paraules de weakpass.com:
Llista de paraules del repo berzerk0:
Analitzador de missatges de Microsoft:
Font: www.habr.com