Mae dyn, fel y gwyddoch, yn greadur diog.
A hyd yn oed yn fwy felly pan ddaw i ddewis cyfrinair cryf.
Rwy'n credu bod pob gweinyddwr erioed wedi wynebu'r broblem o ddefnyddio cyfrineiriau ysgafn a safonol. Mae'r ffenomen hon yn aml yn digwydd ymhlith haenau uchaf rheolaeth cwmni. Ie, ie, yn union ymhlith y rhai sydd â mynediad at wybodaeth gyfrinachol neu fasnachol a byddai'n hynod annymunol dileu canlyniadau gollyngiadau / hacio cyfrinair a digwyddiadau pellach.
Yn fy ymarfer i, roedd achos pan, mewn parth Active Directory gyda pholisi cyfrinair wedi’i alluogi, daeth cyfrifwyr yn annibynnol i’r syniad bod cyfrinair fel “Pas$w0rd1234” yn cyd-fynd yn berffaith â gofynion y polisi. Y canlyniad oedd y defnydd eang o'r cyfrinair hwn ym mhobman. Weithiau roedd yn gwahaniaethu yn unig yn ei set o rifau.
Roeddwn i wir eisiau gallu nid yn unig galluogi polisi cyfrinair a diffinio set nodau, ond hefyd hidlo fesul geiriadur. I eithrio'r posibilrwydd o ddefnyddio cyfrineiriau o'r fath.
Mae Microsoft yn garedig yn ein hysbysu trwy'r ddolen fod unrhyw un sy'n gwybod sut i ddal casglwr, IDE yn gywir yn eu dwylo ac sy'n gwybod sut i ynganu C ++ yn gywir, yn gallu llunio'r llyfrgell sydd ei angen arnynt a'i ddefnyddio yn ôl eu dealltwriaeth eu hunain. Nid yw eich gwas gostyngedig yn gallu gwneud hyn, felly roedd yn rhaid i mi chwilio am ateb parod.
Ar ôl awr hir o chwilio, datgelwyd dau opsiwn ar gyfer datrys y broblem. Yr wyf, wrth gwrs, yn sôn am y datrysiad OpenSource. Wedi'r cyfan, mae yna opsiynau taledig - o'r dechrau i'r diwedd.
Opsiwn rhif 1.
Ni fu unrhyw ymrwymiadau ers tua 2 flynedd bellach.Mae'r gosodwr brodorol yn gweithio bob hyn a hyn, mae'n rhaid i chi ei gywiro â llaw. Yn creu ei wasanaeth ar wahân ei hun. Wrth ddiweddaru ffeil cyfrinair, nid yw'r DLL yn codi'r cynnwys sydd wedi'i newid yn awtomatig; mae angen i chi atal y gwasanaeth, aros terfyn amser, golygu'r ffeil, a chychwyn y gwasanaeth.
Dim rhew!
Opsiwn rhif 2.
Mae'r prosiect yn weithgar, yn fyw ac nid oes angen hyd yn oed gicio'r corff oer.
Mae gosod yr hidlydd yn golygu copïo dwy ffeil a chreu sawl cofnod cofrestrfa. Nid yw'r ffeil cyfrinair mewn clo, hynny yw, mae ar gael i'w olygu ac, yn ôl syniad awdur y prosiect, yn syml, caiff ei ddarllen unwaith y funud. Hefyd, gan ddefnyddio cofnodion cofrestrfa ychwanegol, gallwch chi ffurfweddu'r hidlydd ei hun ymhellach a hyd yn oed arlliwiau'r polisi cyfrinair.
Felly
Wedi'i roi: Parth Active Directory test.local
gweithfan prawf Windows 8.1 (ddim yn bwysig at ddiben y broblem)
hidlydd cyfrinair PassFiltEx
- Lawrlwythwch y datganiad diweddaraf o'r ddolen
- Copi PassFiltEx.dll в C: WindowsSystem32 (Neu % SystemRoot% System32).
Copi PassFiltExBlacklist.txt в C: WindowsSystem32 (Neu % SystemRoot% System32). Os oes angen, rydym yn ei ategu gyda'n templedi ein hunain
- Wrthi'n golygu cangen y gofrestrfa: HKLMSYSTEMCurrentControlSetControlLsa => Pecynnau Hysbysu
Ychwanegu PassFiltEx i ddiwedd y rhestr. (Nid oes angen nodi'r estyniad.) Bydd y rhestr gyflawn o becynnau a ddefnyddir ar gyfer sganio yn edrych fel hyn “rassfm scecli PassFiltEx".
- Ailgychwyn y rheolydd parth.
- Rydym yn ailadrodd y weithdrefn uchod ar gyfer pob rheolwr parth.
Gallwch hefyd ychwanegu'r cofnodion cofrestrfa canlynol, sy'n rhoi mwy o hyblygrwydd i chi wrth ddefnyddio'r hidlydd hwn:
Pennod: HKLMSOFTWAREPassFiltEx - yn cael ei greu yn awtomatig.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ , Diofyn: PassFiltExBlacklist.txt
BlacklistFileName - yn caniatáu ichi nodi llwybr wedi'i deilwra i ffeil gyda thempledi cyfrinair. Os yw'r cofnod cofrestrfa hwn yn wag neu ddim yn bodoli, yna defnyddir y llwybr rhagosodedig, sef - % SystemRoot% System32. Gallwch hyd yn oed nodi llwybr rhwydwaith, OND mae angen i chi gofio bod yn rhaid i'r ffeil templed gael caniatâd clir i ddarllen, ysgrifennu, dileu, newid.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD , Diofyn: 60
TokenPercentageOfPassword - yn caniatáu ichi nodi canran y mwgwd yn y cyfrinair newydd. Y gwerth rhagosodedig yw 60%. Er enghraifft, os yw'r canran digwyddiad yn 60 a'r llinyn starwars yn y ffeil templed, yna'r cyfrinair Starwars1! yn cael ei wrthod tra bydd y cyfrinair starwars1!DarthVader88 yn cael ei dderbyn oherwydd bod canran y llinyn yn y cyfrinair yn llai na 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD , Diofyn: 0
Gofyn DosbarthiadauChar - yn caniatáu ichi ehangu'r gofynion cyfrinair o'u cymharu â gofynion cymhlethdod cyfrinair safonol ActiveDirectory. Mae'r gofynion cymhlethdod adeiledig yn gofyn am 3 o'r 5 gwahanol fathau posibl o nodau: Priflythrennau, Llythrennau Bach, Digid, Arbennig, ac Unicode. Gan ddefnyddio'r cofnod cofrestrfa hwn, gallwch osod eich gofynion cymhlethdod cyfrinair. Y gwerth y gellir ei bennu yw set o ddarnau, pob un ohonynt yn bŵer cyfatebol o ddau.
Hynny yw, 1 = llythrennau bach, 2 = priflythrennau, 4 = digid, 8 = nod arbennig, ac 16 = nod Unicode.
Felly gyda gwerth o 7 y gofynion fyddai “Llythyren Uchaf” AC llythrennau bach AC digid”, a gyda gwerth o 31 - “Llythrennau mawr AC llythrennau bach AC digid AC symbol arbennig AC Cymeriad Unicode."
Gallwch hyd yn oed gyfuno - 19 = “Llythrennau mawr AC llythrennau bach AC Cymeriad Unicode." -
Nifer o reolau wrth lunio ffeil templed:
- Mae templedi yn ansensitif o ran achosion. Felly, y cofnod ffeil starwars и StarWarS yn cael ei benderfynu i fod yr un gwerth.
- Mae'r ffeil rhestr ddu yn cael ei hail-ddarllen bob 60 eiliad, felly gallwch chi ei golygu'n hawdd; ar ôl munud, bydd yr hidlydd yn defnyddio'r data newydd.
- Ar hyn o bryd nid oes cefnogaeth Unicode ar gyfer paru patrymau. Hynny yw, gallwch chi ddefnyddio nodau Unicode mewn cyfrineiriau, ond ni fydd yr hidlydd yn gweithio. Nid yw hyn yn hollbwysig, oherwydd nid wyf wedi gweld defnyddwyr sy'n defnyddio cyfrineiriau Unicode.
- Fe'ch cynghorir i beidio â chaniatáu llinellau gwag yn y ffeil templed. Yn y dadfyg gallwch weld gwall wrth lwytho data o ffeil. Mae'r hidlydd yn gweithio, ond pam yr eithriadau ychwanegol?
Ar gyfer dadfygio, mae'r archif yn cynnwys ffeiliau swp sy'n eich galluogi i greu log ac yna ei ddosrannu gan ddefnyddio, er enghraifft,
Mae'r hidlydd cyfrinair hwn yn defnyddio Olrhain Digwyddiadau ar gyfer Windows.
Y darparwr ETW ar gyfer yr hidlydd cyfrinair hwn yw 07d83223-7594-4852-babc-784803fdf6c5. Felly, er enghraifft, gallwch chi ffurfweddu olrhain digwyddiadau ar ôl yr ailgychwyn canlynol:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Bydd olrhain yn dechrau ar ôl ailgychwyn y system nesaf. Stopio:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Mae'r holl orchmynion hyn wedi'u nodi yn y sgriptiau StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Ar gyfer gwiriad un-amser o'r gweithrediad hidlo, gallwch ei ddefnyddio CychwynTracing.cmd и StopTracing.cmd.
Er mwyn darllen gwacáu dadfygio'r hidlydd hwn yn gyfleus Dadansoddwr Negeseuon Microsoft Argymhellir defnyddio'r gosodiadau canlynol:
Wrth roi'r gorau i fewngofnodi a dosrannu i mewn Dadansoddwr Negeseuon Microsoft mae popeth yn edrych rhywbeth fel hyn:
Yma gallwch weld bod ymgais i osod cyfrinair ar gyfer y defnyddiwr - mae'r gair hud yn dweud hyn wrthym SET mewn dadfygio. A gwrthodwyd y cyfrinair oherwydd ei bresenoldeb yn y ffeil templed a mwy na 30% yn cyfateb yn y testun a gofnodwyd.
Os gwneir ymgais lwyddiannus i newid cyfrinair, gwelwn y canlynol:
Mae rhywfaint o anghyfleustra i'r defnyddiwr terfynol. Pan geisiwch newid cyfrinair sydd wedi'i gynnwys yn y rhestr o ffeil templedi, nid yw'r neges ar y sgrin yn wahanol i'r neges safonol pan na chaiff y polisi cyfrinair ei basio.
Felly, byddwch yn barod am alwadau a gweiddi: “Fe wnes i nodi'r cyfrinair yn gywir, ond nid yw'n gweithio.”
Y canlyniad.
Mae'r llyfrgell hon yn caniatáu ichi wahardd defnyddio cyfrineiriau syml neu safonol mewn parth Active Directory. Gadewch i ni ddweud "Na!" cyfrineiriau fel: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Bydd, wrth gwrs, bydd defnyddwyr yn eich caru hyd yn oed yn fwy am gymryd cymaint o ofal o'u diogelwch a'r angen i ddod o hyd i gyfrineiriau syfrdanol. Ac, efallai, bydd nifer y galwadau a cheisiadau am help gyda'ch cyfrinair yn cynyddu. Ond daw diogelwch am bris.
Dolenni i adnoddau a ddefnyddiwyd:
Erthygl Microsoft ynghylch llyfrgell hidlo cyfrinair arferol:
PassFiltEx:
Dolen rhyddhau:
Rhestrau cyfrinair:
Mae DanielMiessler yn rhestru:
Rhestr eiriau o weakpass.com:
Rhestr eiriau o berzerk0 repo:
Dadansoddwr Neges Microsoft:
Ffynhonnell: hab.com