Homo, kiel vi scias, estas maldiligenta estaĵo.
Kaj eĉ pli kiam temas pri elekto de forta pasvorto.
Mi pensas, ke ĉiu administranto iam renkontis la problemon uzi malpezajn kaj normajn pasvortojn. Ĉi tiu fenomeno ofte okazas inter la superaj ŝtupoj de firmaadministrado. Jes, jes, ĝuste inter tiuj, kiuj havas aliron al sekretaj aŭ komercaj informoj kaj estus ege nedezirinda forigi la sekvojn de pasvortfuĝoj/hakado kaj pliaj incidentoj.
En mia praktiko, estis kazo kiam, en Aktiva Dosierujo-domajno kun pasvortpolitiko ebligita, librotenistoj sendepende venis al la ideo, ke pasvorto kiel "Pas$w0rd1234" perfekte konvenas al la politikaj postuloj. La sekvo estis la disvastigita uzo de ĉi tiu pasvorto ĉie. Kelkfoje li malsamis nur en sia aro de nombroj.
Mi tre volis povi ne nur ebligi pasvortan politikon kaj difini signaron, sed ankaŭ filtri laŭ vortaro. Por ekskludi la eblecon uzi tiajn pasvortojn.
Mikrosofto afable informas nin per la ligilo, ke ĉiu, kiu scipovas teni kompililon, IDE ĝuste en siaj manoj kaj scipovas ĝuste prononci C++, kapablas kompili la bibliotekon, kiun ili bezonas kaj uzi ĝin laŭ sia propra kompreno. Via humila servisto ne kapablas tion ĉi, do mi devis serĉi pretan solvon.
Post longa horo da serĉado, du ebloj por solvi la problemon estis malkaŝitaj. Mi kompreneble parolas pri la solvo OpenSource. Post ĉio, ekzistas pagitaj opcioj - de komenco ĝis fino.
Opcio numero 1.
Jam ĉirkaŭ 2 jaroj ne ekzistas kommitaĵoj. La denaska instalilo funkcias de tempo al tempo, vi devas korekti ĝin permane. Kreas sian propran apartan servon. Kiam vi ĝisdatigas pasvortan dosieron, la DLL ne aŭtomate prenas la ŝanĝitan enhavon; vi devas ĉesigi la servon, atendi tempon, redakti la dosieron kaj komenci la servon.
Neniu glacio!
Opcio numero 2.
La projekto estas aktiva, viva kaj ne necesas eĉ piedbati la malvarman korpon.
Instali la filtrilon implikas kopii du dosierojn kaj krei plurajn registrajn enirojn. La pasvortdosiero ne estas en seruro, tio estas, ĝi estas disponebla por redaktado kaj, laŭ la ideo de la aŭtoro de la projekto, ĝi estas simple legata unufoje ĉiuminute. Ankaŭ, uzante pliajn registrajn enirojn, vi povas plu agordi ambaŭ la filtrilon mem kaj eĉ la nuancojn de la pasvorta politiko.
Do
Donita: Aktiva Dosierujo-domajna test.local
Vindoza 8.1-prova laborstacio (ne grava por la celo de la problemo)
pasvorta filtrilo PassFiltEx
- Elŝutu la lastan eldonon de la ligilo
- Kopiu PassFiltEx.dll в C: WindowsSystem32 (aŭ %SystemRoot%System32).
Kopiu PassFiltExBlacklist.txt в C: WindowsSystem32 (aŭ %SystemRoot%System32). Se necese, ni kompletigas ĝin per niaj propraj ŝablonoj
- Redaktante la registrobranĉon: HKLMSYSTEMCcurrentControlSetControlLsa => Sciigaj Pakoj
Aldoni PassFiltEx ĝis la fino de la listo. (La etendaĵo ne bezonas esti specifita.) La kompleta listo de pakaĵoj uzataj por skanado aspektos tiel "rassfm scecli PassFiltEx".
- Rekomencu la domajnan regilon.
- Ni ripetas la supran proceduron por ĉiuj domajnaj regiloj.
Vi ankaŭ povas aldoni la sekvajn registrajn enirojn, kio donas al vi pli da fleksebleco uzi ĉi tiun filtrilon:
Ĉapitro: HKLMSOFTWAREPassFiltEx — kreiĝas aŭtomate.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Defaŭlte: PassFiltExBlacklist.txt
Nigra ListoFileName — permesas al vi specifi kutiman vojon al dosiero kun pasvortŝablonoj. Se ĉi tiu registra eniro estas malplena aŭ ne ekzistas, tiam la defaŭlta vojo estas uzata, kiu estas - %SystemRoot%System32. Vi eĉ povas specifi retan vojon, SED vi devas memori, ke la ŝablono dosiero devas havi klarajn permesojn por legi, skribi, forigi, ŝanĝi.
- HKLMSOFTWAREPassFiltExTokenProcentageOfPassword, REG_DWORD, Defaŭlta: 60
TokenPercentageOfPassword — permesas al vi specifi la procenton de la masko en la nova pasvorto. La defaŭlta valoro estas 60%. Ekzemple, se la procenta okazo estas 60 kaj la ĉeno starwars estas en la ŝablondosiero, tiam la pasvorto Starwars1! estos malakceptita dum la pasvorto stelmilitoj1!DarthVader88 estos akceptita ĉar la procento de la ĉeno en la pasvorto estas malpli ol 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Defaŭlta: 0
RequireCharClasses — permesas vin pligrandigi la pasvortpostulojn kompare kun la normaj ActiveDirectory pasvortkomplekseco postuloj. La enkonstruitaj kompleksecpostuloj postulas 3 el la 5 eblaj malsamaj specoj de signoj: Majuskla, Minuskla, Cifero, Speciala kaj Unikodo. Uzante ĉi tiun registran eniron, vi povas agordi viajn pasvortajn kompleksecpostulojn. La valoro kiu povas esti specifita estas aro de bitoj, ĉiu el kiuj estas responda potenco de du.
Tio estas, 1 = minuskla, 2 = majuskla, 4 = cifero, 8 = speciala signo, kaj 16 = Unikoda signo.
Do kun valoro de 7 la postuloj estus "Majuskla" KAJ minuskla KAJ cifero", kaj kun valoro de 31 - "Majuskla KAJ minuskla KAJ cifero KAJ speciala simbolo KAJ Unikoda signo."
Vi povas eĉ kombini - 19 = “Majuskla KAJ minuskla KAJ Unikoda signo." -
Kelkaj reguloj dum kreado de ŝablondosiero:
- Ŝablonoj ne distingas minusklecojn. Tial, la dosiera eniro kosmaj Militoj и Kosmaj Militoj estos determinita esti la sama valoro.
- La nigralistdosiero estas relegata ĉiujn 60 sekundojn, do vi povas facile redakti ĝin; post minuto, la novaj datumoj estos uzataj de la filtrilo.
- Nuntempe ne ekzistas Unikoda subteno por ŝablono-kongruo. Tio estas, vi povas uzi Unikodajn signojn en pasvortoj, sed la filtrilo ne funkcios. Ĉi tio ne estas kritika, ĉar mi ne vidis uzantojn, kiuj uzas Unikodajn pasvortojn.
- Estas konsilinde ne permesi malplenajn liniojn en la ŝablona dosiero. En la sencimigo vi povas tiam vidi eraron dum ŝarĝo de datumoj de dosiero. La filtrilo funkcias, sed kial la kromaj esceptoj?
Por senararigado, la arkivo enhavas batajn dosierojn, kiuj ebligas al vi krei protokolon kaj poste analizi ĝin uzante, ekzemple,
Ĉi tiu pasvorta filtrilo uzas Event Tracing por Vindozo.
La ETW-provizanto por ĉi tiu pasvorta filtrilo estas 07d83223-7594-4852-babc-784803fdf6c5. Do, ekzemple, vi povas agordi eventon post la sekva rekomenco:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Spurado komenciĝos post la sekva rekomenco de la sistemo. Ĉesi:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Ĉiuj ĉi tiuj komandoj estas specifitaj en la skriptoj StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Por unufoja kontrolo de la filtrila operacio, vi povas uzi StartTracing.cmd и StopTracing.cmd.
Por oportune legi la sencimigan ellasilon de ĉi tiu filtrilo en Microsoft Message Analyzer Oni rekomendas uzi la jenajn agordojn:
Kiam ĉesas ensaluti kaj analizado Microsoft Message Analyzer ĉio aspektas kiel ĉi tio:
Ĉi tie vi povas vidi, ke estis provo agordi pasvorton por la uzanto - la magia vorto rakontas tion al ni SET en debug. Kaj la pasvorto estis malakceptita pro ĝia ĉeesto en la ŝablona dosiero kaj pli ol 30% kongruas en la enigita teksto.
Se sukcesa provo de ŝanĝo de pasvorto estas farita, ni vidas la jenon:
Estas iom da ĝeno por la fina uzanto. Kiam vi provas ŝanĝi pasvorton, kiu estas inkluzivita en la listo de ŝablonoj dosiero, la mesaĝo sur la ekrano ne diferencas de la norma mesaĝo kiam la pasvortpolitiko ne estas pasigita.
Tial, estu preta por vokoj kaj krioj: "Mi enigis la pasvorton ĝuste, sed ĝi ne funkcias."
La funda linio.
Ĉi tiu biblioteko permesas malpermesi la uzon de simplaj aŭ normaj pasvortoj en Aktiva Directory-domajno. Ni diru "Ne!" pasvortoj kiel: "P@ssw0rd", "Qwerty123", "ADm1n098".
Jes, kompreneble, uzantoj eĉ pli amos vin pro tia zorgo pri sia sekureco kaj la bezono elpensi mensajn pasvortojn. Kaj, eble, la nombro da vokoj kaj petoj por helpo kun via pasvorto pliiĝos. Sed sekureco havas prezon.
Ligiloj al uzataj rimedoj:
Mikrosofto-artikolo pri kutima pasvorta filtrilbiblioteko:
PassFiltEx:
Liberiga ligilo:
Pasvorto-listoj:
DanielMiessler listigas:
Vortlisto de weakpass.com:
Vortlisto de berzerk0 deponejo:
Mikrosofta Mesaĝa Analizilo:
fonto: www.habr.com