Ang tawo, ingon sa imong nahibal-an, usa ka tapulan nga binuhat.
Ug labi pa kung bahin sa pagpili sa usa ka lig-on nga password.
Sa akong hunahuna ang matag tigdumala nag-atubang sa problema sa paggamit sa gaan ug standard nga mga password. Kini nga panghitabo kanunay nga mahitabo taliwala sa taas nga lebel sa pagdumala sa kompanya. Oo, oo, tukma sa mga adunay access sa sekreto o komersyal nga impormasyon ug kini mahimong hilabihan nga dili gusto sa pagwagtang sa mga sangputanan sa password leaks/hacking ug dugang nga mga insidente.
Sa akong praktis, adunay usa ka kaso sa diha nga, sa usa ka Active Directory domain uban sa usa ka password polisiya nakahimo, accountants independente miabut sa ideya nga ang usa ka password sama sa "Pas$w0rd1234" mohaum sa mga kinahanglanon sa palisiya hingpit. Ang sangputanan mao ang kaylap nga paggamit niini nga password bisan asa. Usahay lahi ra siya sa iyang set sa mga numero.
Gusto gyud nako nga dili lamang makahimo sa usa ka polisiya sa password ug maghubit sa usa ka set sa karakter, apan usab sa pagsala pinaagi sa diksyonaryo. Aron dili iapil ang posibilidad sa paggamit sa ingon nga mga password.
Ang Microsoft maluloton nga nagpahibalo kanamo pinaagi sa link nga bisan kinsa nga nahibal-an kung giunsa ang pagkupot sa usa ka compiler, ang IDE nga husto sa ilang mga kamot ug nahibal-an kung giunsa ang paglitok sa C ++ sa husto, makahimo sa pag-compile sa librarya nga ilang gikinahanglan ug magamit kini sumala sa ilang kaugalingon nga pagsabut. Ang imong mapaubsanong sulugoon dili makahimo niini, busa kinahanglan kong mangita ug andam nga solusyon.
Human sa taas nga oras sa pagpangita, duha ka mga kapilian sa pagsulbad sa problema ang gipadayag. Ako, siyempre, naghisgot bahin sa solusyon sa OpenSource. Pagkahuman, adunay bayad nga mga kapilian - gikan sa pagsugod hangtod sa katapusan.
Opsyon nga numero 1.
Wala'y mga pasalig sulod sa mga 2 ka tuig na karon. Ang lumad nga installer nagtrabaho matag karon ug unya, kinahanglan nimo nga itul-id kini sa mano-mano. Naghimo sa kaugalingon nga lahi nga serbisyo. Kung nag-update sa usa ka file sa password, ang DLL dili awtomatikong kuhaon ang nabag-o nga sulud; kinahanglan nimo nga hunongon ang serbisyo, maghulat usa ka timeout, usba ang file, ug sugdan ang serbisyo.
Walay yelo!
Opsyon nga numero 2.
Aktibo ang proyekto, buhi ug dili na kinahanglan nga sipa pa ang bugnaw nga lawas.
Ang pag-instalar sa filter naglakip sa pagkopya sa duha ka mga file ug paghimo og daghang mga registry entries. Ang file sa password wala sa usa ka lock, nga mao, kini magamit alang sa pag-edit ug, sumala sa ideya sa tagsulat sa proyekto, kini yano nga gibasa kausa sa usa ka minuto. Usab, gamit ang dugang nga mga entry sa registry, mahimo nimo nga dugang nga i-configure ang filter mismo ug bisan ang mga nuances sa polisiya sa password.
Nan, unya.
Gihatag: Active Directory domain test.local
Windows 8.1 test workstation (dili importante alang sa katuyoan sa problema)
filter sa password PassFiltEx
- I-download ang pinakabag-o nga pagpagawas gikan sa link
- Kopyaha PassFiltEx.dll в C: WindowsSystem32 (o %SystemRoot%System32).
Kopyaha PassFiltExBlacklist.txt в C: WindowsSystem32 (o %SystemRoot%System32). Kung gikinahanglan, gidugangan namon kini sa among kaugalingon nga mga template
- Pag-edit sa sanga sa rehistro: HKLMSYSTEMCurrentControlSetControlLsa => Mga Pakete sa Pagpahibalo
Pagdugang PassFiltEx hangtod sa katapusan sa lista. (Ang extension dili kinahanglan nga espesipiko.) Ang kompleto nga listahan sa mga pakete nga gigamit sa pag-scan mahimong sama niini "rassfm scecli PassFiltEx".
- I-reboot ang domain controller.
- Gisubli namo ang pamaagi sa ibabaw para sa tanang tigkontrol sa domain.
Mahimo usab nimong idugang ang mosunod nga mga entry sa rehistro, nga naghatag kanimo og dugang nga pagka-flexible sa paggamit niini nga filter:
Kapitulo: HKLMSOFTWAREPassFiltEx — awtomatikong gibuhat.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName — nagtugot kanimo sa pagpiho sa usa ka naandan nga agianan sa usa ka file nga adunay mga template sa password. Kung kini nga entry sa registry walay sulod o wala, nan ang default nga dalan gigamit, nga mao - %SystemRoot%System32. Mahimo pa nimo nga ipiho ang usa ka agianan sa network, PERO kinahanglan nimong hinumdoman nga ang template file kinahanglan adunay klaro nga pagtugot sa pagbasa, pagsulat, pagtangtang, pagbag-o.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword - nagtugot kanimo sa pagtino sa porsyento sa maskara sa bag-ong password. Ang default nga kantidad mao ang 60%. Pananglitan, kung ang porsyento nga panghitabo 60 ug ang string starwars naa sa template file, nan ang password Starwars1! isalikway samtang ang password starwars1!DarthVader88 dawaton tungod kay ang porsyento sa string sa password ubos pa sa 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
NanginahanglanCharClasses — nagtugot kanimo sa pagpalapad sa mga kinahanglanon sa password kumpara sa sagad nga kinahanglanon sa pagkakomplikado sa password sa ActiveDirectory. Ang built-in nga komplikado nga mga kinahanglanon nanginahanglan 3 sa 5 nga posible nga lainlaing mga lahi sa mga karakter: Uppercase, Lowercase, Digit, Espesyal, ug Unicode. Gamit kini nga registry entry, mahimo nimong itakda ang imong mga kinahanglanon sa pagkakomplikado sa password. Ang bili nga mahimong espesipiko mao ang usa ka set sa mga tipik, nga ang matag usa usa ka katumbas nga gahum sa duha.
Kana mao - 1 = lowercase, 2 = uppercase, 4 = digit, 8 = espesyal nga karakter, ug 16 = Unicode character.
Mao nga sa kantidad nga 7 ang mga kinahanglanon mahimong "Upper Case" UG gamay nga letra UG digit", ug adunay kantidad nga 31 - "Upper case UG gamay nga kaso UG digit UG espesyal nga simbolo UG Unicode nga karakter."
Mahimo nimo nga i-combine - 19 = "Upper case UG gamay nga kaso UG Unicode nga karakter." -
Pipila ka mga lagda sa paghimo og template file:
- Ang mga templates kay case insensitive. Busa, ang file entry mga starwars и StarWarS madeterminar nga parehas nga kantidad.
- Ang blacklist nga file gibasa pag-usab matag 60 segundos, aron dali nimo kini ma-edit; pagkahuman sa usa ka minuto, ang bag-ong datos gamiton sa filter.
- Sa pagkakaron walay suporta sa Unicode alang sa pagpares sa pattern. Kana mao, mahimo nimong gamiton ang mga karakter sa Unicode sa mga password, apan ang filter dili molihok. Dili kini kritikal, tungod kay wala ako makakita sa mga tiggamit nga naggamit sa mga password sa Unicode.
- Kini mao ang advisable sa dili pagtugot sa walay sulod nga mga linya sa template file. Sa debug mahimo nimong makita ang usa ka sayup kung nagkarga sa datos gikan sa usa ka file. Ang filter naglihok, apan nganong ang dugang nga mga eksepsiyon?
Alang sa pag-debug, ang archive adunay mga batch file nga nagtugot kanimo sa paghimo og usa ka log ug dayon i-parse kini gamit, pananglitan,
Kini nga filter sa password naggamit sa Pagsubay sa Kaganapan para sa Windows.
Ang ETW provider alang niini nga password filter mao ang 07d83223-7594-4852-babc-784803fdf6c5. Busa, pananglitan, mahimo nimong i-configure ang pagsubay sa panghitabo pagkahuman sa mosunod nga pag-reboot:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Magsugod ang pagsubay pagkahuman sa sunod nga pag-reboot sa sistema. Paghunong:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Kining tanan nga mga sugo gipiho sa mga script StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Alang sa usa ka higayon nga pagsusi sa operasyon sa filter, mahimo nimong gamiton StartTracing.cmd и StopTracing.cmd.
Aron sayon nga basahon ang debug nga tambutso niini nga filter sa Microsoft Message Analyzer Girekomenda nga gamiton ang mosunod nga mga setting:
Sa paghunong sa pag-log ug pag-parse in Microsoft Message Analyzer ang tanan ingon niini:
Dinhi imong makita nga adunay usa ka pagsulay sa pagbutang sa usa ka password alang sa user - ang magic nga pulong nagsulti kanato niini SET sa debug. Ug ang password gisalikway tungod sa presensya niini sa template file ug labaw pa sa 30% nga tugma sa gisulod nga teksto.
Kung ang usa ka malampuson nga pagsulay sa pagbag-o sa password gihimo, among makita ang mosunod:
Adunay pipila ka kahasol alang sa katapusan nga tiggamit. Kung gisulayan nimo ang pag-usab sa usa ka password nga gilakip sa lista sa mga template nga file, ang mensahe sa screen dili lahi sa naandan nga mensahe kung ang palisiya sa password wala mapasa.
Busa, pag-andam alang sa mga tawag ug singgit: "Gisulod nako ang password sa husto, apan dili kini molihok."
Tima.
Kini nga librarya nagtugot kanimo sa pagdili sa paggamit sa yano o standard nga mga password sa usa ka Active Directory domain. Ingnon ta nga "Dili!" mga password sama sa: "P@ssw0rd", "Qwerty123", "ADm1n098".
Oo, siyempre, mas higugmaon ka sa mga tiggamit tungod sa pag-atiman sa ilang seguridad ug ang panginahanglan sa paghimo sa mga password nga makahunahuna. Ug, tingali, ang gidaghanon sa mga tawag ug mga hangyo alang sa tabang sa imong password modaghan. Apan ang seguridad moabut sa usa ka bili.
Mga link sa mga kapanguhaan nga gigamit:
Artikulo sa Microsoft mahitungod sa usa ka custom nga password filter library:
PassFiltEx:
Release link:
Mga lista sa password:
DanielMiessler naglista:
Wordlist gikan sa weakpass.com:
Wordlist gikan sa berzerk0 repo:
Microsoft Message Analyzer:
Source: www.habr.com