L'omu, cum'è sapete, hè una criatura pigra.
È ancu di più quandu si tratta di sceglie una password forte.
Pensu chì ogni amministratore hà mai affruntatu u prublema di utilizà password ligere è standard. Stu fenominu spessu si trova trà i chjassi superiori di a gestione di a cumpagnia. Iè, iè, precisamente trà quelli chì anu accessu à l'infurmazioni secreti o cummerciale è saria estremamente indesevule per eliminà e cunsequenze di fughe di password / pirate è altri incidenti.
In a mo pratica, ci hè statu un casu quandu, in un duminiu di Active Directory cù una pulitica di password attivata, i contabili sò ghjunti indipendentemente à l'idea chì una password cum'è "Pas$w0rd1234" si adatta perfettamente à i requisiti di pulitica. A cunsiquenza era l'usu generalizatu di sta password in ogni locu. Calchì volta si differia solu in u so set di numeri.
Vuliu veramente pudè micca solu attivà una pulitica di password è definisce un set di caratteri, ma ancu filtrà per dizziunariu. Per escludiri a pussibilità di utilizà tali password.
Microsoft ci informa gentilmente per via di u ligame chì qualchissia chì sà cumu tene un compilatore, IDE currettamente in e so mani è sà cumu pronuncia C++ currettamente, hè capaci di cumpilà a biblioteca chì necessitanu è l'utilizanu secondu a so propria intelligenza. U vostru umile servitore ùn hè micca capaci di questu, cusì aghju avutu à circà una suluzione pronta.
Dopu una longa ora di ricerca, duie opzioni per risolve u prublema sò state revelate. Sò, sicuru, parlendu di a suluzione OpenSource. Dopu tuttu, ci sò opzioni pagate - da u principiu à a fine.
Opzione numeru 1.
Ùn ci hè statu micca cummitteddu per circa anni 2. L'installatore nativu travaglia ogni tantu, avete da curregà manualmente. Crea u so propiu serviziu separatu. Quandu aghjurnà un schedariu di password, a DLL ùn piglia micca automaticamente u cuntenutu cambiatu; avete bisognu di piantà u serviziu, aspittà un timeout, edità u schedariu, è inizià u serviziu.
Nisun ghjacciu !
Opzione numeru 2.
U prugettu hè attivu, vivu è ùn ci hè micca bisognu di chjappà ancu u corpu friddu.
L'installazione di u filtru implica a copia di dui schedari è a creazione di parechje voci di registru. U schedariu di password ùn hè micca in una serratura, vale à dì, hè dispunibule per edità è, secondu l'idea di l'autore di u prugettu, hè simplicemente leghje una volta per minutu. Inoltre, utilizendu entrate di registru supplementari, pudete cunfigurà ancu u filtru stessu è ancu i sfumaturi di a pulitica di password.
Bonu, da quì.
Datu: test di duminiu Active Directory.local
Windows 8.1 test workstation (micca impurtante per u scopu di u prublema)
filtru di password PassFiltEx
- Scaricate l'ultima versione da u ligame
- Copia PassFiltEx.dll в C: WindowsSystem32 (o %SystemRoot%System32).
Copia PassFiltExBlacklist.txt в C: WindowsSystem32 (o %SystemRoot%System32). Se necessariu, l'avemu supplementatu cù i nostri mudelli
- Edità a filiera di u registru: HKLMSYSTEMCcurrentControlSetControlLsa => Pacchetti di notificazione
Aggiungi PassFiltEx à a fine di a lista. (L'estensione ùn hè micca bisognu di specificazione.) A lista cumpleta di pacchetti utilizati per a scansione serà cusì "rassfm scecli PassFiltEx".
- Reboot u controller di duminiu.
- Ripitemu a prucedura sopra per tutti i controller di duminiu.
Pudete ancu aghjunghje e seguenti entrate di registru, chì vi dà più flessibilità in l'usu di stu filtru:
Capitulu: HKLMSOFTWAREPassFiltEx - hè creatu automaticamente.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName - permette di specificà un percorsu persunalizatu à un schedariu cù mudelli di password. Se sta voce di registru hè viota o ùn esiste micca, allora u percorsu predeterminatu hè utilizatu, chì hè - %SystemRoot%System32. Pudete ancu specificà una strada di rete, MA avete bisognu di ricurdà chì u schedariu di mudellu deve avè permessi chjaru per leghje, scrive, sguassà, cambià.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword - permette di specificà u percentuale di a maschera in a nova password. U valore predeterminatu hè 60%. Per esempiu, se l'occurrenza percentuale hè 60 è a stringa starwars hè in u schedariu di mudellu, allora a password Starwars 1! serà rifiutatu mentre a password starwars1!DarthVader88 serà accettatu perchè u percentuale di a stringa in a password hè menu di 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
RequireCharClasses - permette di espansione i requisiti di password cumparatu cù i requisiti di cumplessità di password standard ActiveDirectory. I requisiti di cumplessità integrata necessitanu 3 di i 5 tipi di caratteri pussibuli: Maiuscule, Minuscule, Cifri, Speciale è Unicode. Utilizendu questa entrata di registru, pudete stabilisce i vostri requisiti di cumplessità di password. U valore chì pò esse specificatu hè un inseme di bits, ognunu di i quali hè una putenza currispundente di dui.
Vale à dì, 1 = minuscule, 2 = majuscule, 4 = cifru, 8 = caratteru speciale, è 16 = carattere Unicode.
Allora cù un valore di 7 i requisiti seranu "Majuscule" AND minuscule AND cifru", è cù un valore di 31 - "Majuscule AND minuscule AND cifru AND simbulu spiciali AND Caratteru Unicode ".
Pudete ancu combine - 19 = "Majuscule AND minuscule AND Caratteru Unicode ". -
Una quantità di regule quandu creanu un schedariu di mudellu:
- I mudelli sò insensibili à u casu. Dunque, l'entrata di u schedariu starwars и Star WarS serà determinatu à esse u listessu valore.
- U schedariu di a lista negra hè rilettu ogni 60 seconde, cusì pudete facilmente edità; dopu à un minutu, i novi dati seranu utilizati da u filtru.
- Attualmente ùn ci hè micca supportu Unicode per a cuncordanza di mudelli. Questu hè, pudete aduprà caratteri Unicode in password, ma u filtru ùn funziona micca. Questu ùn hè micca criticu, perchè ùn aghju micca vistu utilizatori chì utilizanu password Unicode.
- Hè cunsigliatu di ùn permette micca linee vacanti in u schedariu di mudellu. In u debug pudete vede un errore quandu caricate dati da un schedariu. U filtru funziona, ma perchè l'eccezzioni extra?
Per debugging, l'archiviu cuntene i fugliali batch chì permettenu di creà un logu è poi analizà cù, per esempiu,
Stu filtru di password usa Event Tracing per Windows.
U fornitore ETW per stu filtru di password hè 07d83223-7594-4852-babc-784803fdf6c5. Cusì, per esempiu, pudete cunfigurà a traccia di l'eventi dopu à u seguente reboot:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
A traccia principiarà dopu à u prossimu reboot di u sistema. Per piantà:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Tutti questi cumandamenti sò specificati in i scripts StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Per una verificazione una volta di l'operazione di filtru, pudete aduprà StartTracing.cmd и StopTracing.cmd.
Per leghje comodamente u debug exhaust di stu filtru in Analisi di Missaghju Micca Hè cunsigliatu à aduprà i seguenti paràmetri:
Quandu si ferma u logu è l'analisi Analisi di Missaghju Micca tuttu s'assumiglia à questu:
Quì pudete vede chì ci hè statu un tentativu di stabilisce una password per l'utilizatore - a parolla magica ci dice questu SET in debug. È a password hè stata rifiutata per via di a so prisenza in u schedariu di mudellu è più di 30% match in u testu inseritu.
Se un tentativu successu di cambià a password hè fattu, vedemu i seguenti:
Ci hè qualchì inconveniente per l'utilizatori finali. Quandu pruvate di cambià una password chì hè inclusa in a lista di u schedariu di mudelli, u messagiu nantu à u screnu ùn hè micca sfarente di u missaghju standard quandu a pulitica di password ùn hè micca passatu.
Dunque, preparate per chjama è grida: "Aghju intrutu a password currettamente, ma ùn funziona micca".
Totale.
Questa biblioteca permette di pruibisce l'usu di password simplici o standard in un duminiu Active Directory. Dicemu "No!" password cum'è: "P@ssw0rd", "Qwerty123", "ADm1n098".
Iè, sicuru, l'utilizatori vi amarà ancu di più per piglià tali cura di a so sicurità è a necessità di vene cun password strabilianti. È, forsi, u numeru di chjamate è dumande d'aiutu cù a vostra password aumenterà. Ma a sicurità vene à un prezzu.
Ligami à e risorse utilizati:
Articulu Microsoft riguardanti una biblioteca di filtru di password persunalizata:
PassFiltEx:
Ligame di liberazione:
Lista di password:
DanielMiessler elenca:
Lista di parole da weakpass.com:
Lista di parole da berzerk0 repo:
Analizzatore di missaghji Microsoft:
Source: www.habr.com