Inimene, nagu teate, on laisk olend.
Ja veelgi enam, kui on vaja tugevat parooli valida.
Ma arvan, et iga administraator on kunagi silmitsi seisnud kergete ja standardsete paroolide kasutamise probleemiga. See nähtus esineb sageli ettevõtte juhtkonna kõrgemates astmetes. Jah, jah, just nende seas, kellel on ligipääs salajasele või ärilisele infole ning paroolilekke/häkkimise ja edasiste intsidentide tagajärgede likvideerimine oleks äärmiselt ebasoovitav.
Minu praktikas oli juhtum, kui Active Directory domeenis, kus paroolipoliitika oli lubatud, jõudsid raamatupidajad iseseisvalt ideele, et selline parool nagu “Pas$w0rd1234” vastab poliitikanõuetele suurepäraselt. Selle tagajärjeks oli selle parooli laialdane kasutamine kõikjal. Mõnikord erines ta ainult oma numbrikomplekti poolest.
Tahtsin väga, et saaksin mitte ainult lubada paroolipoliitikat ja määratleda märgistiku, vaid ka filtreerida sõnastiku järgi. Selliste paroolide kasutamise võimaluse välistamiseks.
Microsoft annab lingi vahendusel lahkelt teada, et igaüks, kes oskab kompilaatorit, IDE-d õigesti käes hoida ja oskab õigesti C++ hääldada, oskab vajaliku raamatukogu koostada ja seda enda arusaamise järgi kasutada. Teie alandlik teenija ei ole selleks võimeline, nii et ma pidin otsima valmis lahendust.
Peale pikka tundi otsimist selgus kaks võimalust probleemi lahendamiseks. Ma räägin loomulikult OpenSource lahendusest. On ju tasulised valikud – algusest lõpuni.
Variant number 1.
Kohustusi pole olnud juba umbes 2 aastat.. Native installer töötab aeg-ajalt, tuleb käsitsi parandada. Loob oma eraldi teenuse. Paroolifaili värskendamisel ei võta DLL muudetud sisu automaatselt üles, peate teenuse peatama, ootama aegumist, muutma faili ja käivitama teenuse.
Ei mingit jääd!
Variant number 2.
Projekt on aktiivne, elav ja pole vaja isegi külma keha jalaga lüüa.
Filtri installimine hõlmab kahe faili kopeerimist ja mitme registrikirje loomist. Paroolifail ei ole lukus, see tähendab, et see on redigeerimiseks saadaval ja projekti autori idee kohaselt loetakse seda lihtsalt kord minutis. Samuti saate täiendavate registrikirjete abil täiendavalt konfigureerida nii filtrit ennast kui ka paroolipoliitika nüansse.
Nii.
Antud: Active Directory domeen test.local
Windows 8.1 testtööjaam (pole probleemi seisukohalt oluline)
paroolifilter PassFiltEx
- Laadige lingilt alla uusim versioon
- Kopeeri PassFiltEx.dll в C: WindowsSystem32 (Või %SystemRoot%System32).
Kopeeri PassFiltExBlacklist.txt в C: WindowsSystem32 (Või %SystemRoot%System32). Vajadusel täiendame seda oma mallidega
- Registriharu redigeerimine: HKLMSYSTEMCurrentControlSetControlLsa => Teavituspaketid
Lisage PassFiltEx nimekirja lõppu. (Laiendit pole vaja täpsustada.) Skannimiseks kasutatud pakettide täielik loend näeb välja selline "rassfm scecli PassFiltEx"
- Taaskäivitage domeenikontroller.
- Kordame ülaltoodud protseduuri kõigi domeenikontrolleritega.
Saate lisada ka järgmised registrikirjed, mis annab teile selle filtri kasutamisel suurema paindlikkuse:
Peatükk: HKLMSOFTWAREPassFiltEx — luuakse automaatselt.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Vaikimisi: PassFiltExBlacklist.txt
Must nimekiriFailinimi — võimaldab määrata paroolimallidega faili kohandatud tee. Kui see registrikanne on tühi või seda ei eksisteeri, kasutatakse vaiketeed, mis on - %SystemRoot%System32. Võite isegi määrata võrgutee, AGA peate meeles pidama, et mallifailil peavad olema selged lugemis-, kirjutamis-, kustutamis-, muutmisõigused.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Vaikimisi: 60
TokenPercentageOfPassword — võimaldab määrata maski protsendi uues paroolis. Vaikeväärtus on 60%. Näiteks kui esinemisprotsent on 60 ja string starwars on mallifailis, siis parool Starwars1! parool tagasi lükatakse starwars1!DarthVader88 aktsepteeritakse, kuna stringi protsent paroolis on alla 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Vaikimisi: 0
RequireCharClasses — võimaldab teil laiendada paroolinõudeid võrreldes standardsete ActiveDirectory parooli keerukuse nõuetega. Sisseehitatud keerukusnõuded nõuavad kolme viiest võimalikust erinevast märgitüübist: suurtähed, väikesed tähed, number, eriline ja unikood. Selle registrikirje abil saate määrata oma parooli keerukuse nõuded. Määratav väärtus on bittide kogum, millest igaüks on kahe vastav aste.
See tähendab, et 1 = väiketäht, 2 = suurtäht, 4 = number, 8 = erimärk ja 16 = Unicode'i märk.
Nii et väärtusega 7 oleksid nõuded „suurtähed” JA väiketähtedega JA number" ja väärtusega 31 - "Suurtähed JA väiketähtedega JA kohaline JA eriline sümbol JA Unicode'i märk."
Võite isegi kombineerida - 19 = “Suurtähed JA väiketähtedega JA Unicode'i märk." -
Mallfaili loomisel tuleb järgida mitmeid reegleid:
- Mallid ei ole tõstutundlikud. Seetõttu faili kirje tähtede sõda и Tähtede sõda määratakse sama väärtusega.
- Musta nimekirja faili loetakse uuesti iga 60 sekundi järel, nii et saate seda hõlpsalt redigeerida; minuti pärast kasutab filter uusi andmeid.
- Praegu puudub mustri sobitamise Unicode tugi. See tähendab, et saate paroolides kasutada Unicode'i märke, kuid filter ei tööta. See pole kriitiline, sest ma pole näinud kasutajaid, kes kasutaksid Unicode'i paroole.
- Soovitatav on tühje ridu mallifailis mitte lubada. Silumisel näete failist andmete laadimisel viga. Filter töötab, aga milleks lisaerandid?
Silumiseks sisaldab arhiiv pakettfaile, mis võimaldavad luua logi ja seejärel seda näiteks parsida
See paroolifilter kasutab sündmuste jälgimist Windowsi jaoks.
Selle paroolifiltri ETW pakkuja on 07d83223-7594-4852-babc-784803fdf6c5. Näiteks saate sündmuste jälgimise konfigureerida pärast järgmist taaskäivitamist:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Jälgimine algab pärast süsteemi järgmist taaskäivitamist. Peatuma:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Kõik need käsud on skriptides määratud StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Filtri töö ühekordseks kontrollimiseks võite kasutada StartTracing.cmd и StopTracing.cmd.
Selle filtri silumisheitmete mugavaks lugemiseks Microsoft Message Analyzer Soovitatav on kasutada järgmisi seadeid:
Logimise ja parsimise peatamisel Microsoft Message Analyzer kõik näeb välja umbes selline:
Siin on näha, et kasutajale üritati parooli seada – võlusõna ütleb meile seda SET silumises. Ja parool lükati tagasi, kuna see oli mallifailis ja sisestatud tekstis oli rohkem kui 30%.
Eduka parooli muutmise katse korral näeme järgmist.
Lõppkasutaja jaoks on ebamugavusi. Kui proovite muuta mallide loendis sisalduvat parooli, ei erine ekraanil kuvatav teade tavalisest sõnumist, kui paroolipoliitikat ei läbita.
Seetõttu olge valmis kõnedeks ja hüüeteks: "Sisestasin parooli õigesti, kuid see ei tööta."
Kokkuvõte.
See teek võimaldab teil keelata lihtsate või standardsete paroolide kasutamise Active Directory domeenis. Ütleme "Ei!" paroolid nagu: "P@ssw0rd", "Qwerty123", "ADm1n098".
Jah, muidugi, kasutajad armastavad teid veelgi rohkem, kui hoolitsete oma turvalisuse eest ja peate välja mõtlema mõtlemapanevaid paroole. Ja võib-olla suureneb teie parooliga seotud kõnede ja abitaotluste arv. Kuid turvalisusel on oma hind.
Lingid kasutatud ressurssidele:
Microsofti artikkel kohandatud paroolifiltri teegi kohta:
PassFiltEx:
Väljalaske link:
Parooliloendid:
DanielMiessler loetleb:
Sõnaloend saidilt heikkopass.com:
Sõnaloend berzerk0 repost:
Microsofti sõnumianalüsaator:
Allikas: www.habr.com