Gizona, dakizuen bezala, izaki alferra da.
Eta are gehiago pasahitz sendoa aukeratzeko orduan.
Uste dut administratzaile guztiek pasahitz arinak eta estandarrak erabiltzeko arazoari aurre egin diotela. Fenomeno hori maiz gertatzen da enpresen zuzendaritzako goi mailan. Bai, bai, hain zuzen ere informazio sekretua edo komertziala eskuratzen dutenen artean eta pasahitz filtrazio/piratearen eta gertakari gehiagoren ondorioak ezabatzea oso desiragarria litzateke.
Nire praktikan, pasahitz politika gaituta dagoen Active Directory domeinu batean, kontu-hartzaileek modu independentean "Pas$w0rd1234" bezalako pasahitz batek politika-eskakizunetara ezin hobeto betetzen duela pentsatu zuten. Ondorioa pasahitz honen erabilera zabala izan zen nonahi. Batzuetan bere zenbaki multzoan bakarrik desberdintzen zen.
Benetan nahi nuen pasahitz politika gaitu eta karaktere multzo bat definitzeaz gain, hiztegiaren arabera iragazi ere egin ahal izatea. Pasahitzak erabiltzeko aukera baztertzeko.
Microsoft-ek atsegin handiz jakinarazten digu estekaren bidez, konpiladore bat, IDE eskuetan behar bezala eusten dakienak eta C++ behar bezala ahoskatzen dakienak, behar duen liburutegia konpilatu eta bere ulermenaren arabera erabiltzeko gai dela. Zure zerbitzari xumea ez da horretarako gai, beraz, prest egondako irtenbide bat bilatu behar izan nuen.
Ordu luzez bilatu ondoren, arazoa konpontzeko bi aukera agertu ziren. Noski, OpenSource irtenbideaz ari naiz. Azken finean, ordainpeko aukerak daude - hasieratik amaierara.
1. aukera zenbakia.
Duela 2 urte inguru ez dira konprometitu. Instalatzaile natiboak noizean behin funtzionatzen du, eskuz zuzendu behar duzu. Bere zerbitzu bereizia sortzen du. Pasahitz fitxategi bat eguneratzean, DLL-k ez du automatikoki jasotzen aldatutako edukia; zerbitzua gelditu behar duzu, denbora-muga bat itxaron, fitxategia editatu eta zerbitzua abiarazi behar duzu.
Izotzrik ez!
2. aukera zenbakia.
Proiektua aktiboa da, bizia eta ez dago gorputz hotzari ostikorik eman beharrik.
Iragazkia instalatzeak bi fitxategi kopiatzea eta erregistroko hainbat sarrera sortzea dakar. Pasahitz fitxategia ez dago blokeo batean, hau da, editatzeko eskuragarri dago eta, proiektuaren egilearen ideiaren arabera, minutuan behin irakurtzen da. Gainera, erregistroko sarrera osagarriak erabiliz, iragazkia bera eta pasahitzaren politikaren ñabardurak gehiago konfigura ditzakezu.
Beraz.
Emanda: Active Directory domeinuaren test.local
Windows 8.1 probako lan-estazioa (ez da garrantzitsua arazoaren xederako)
pasahitz-iragazkia PassFiltEx
- Deskargatu azken bertsioa estekatik
- Kopiatu PassFiltEx.dll в C: WindowsSystem32 (Edo %SystemRoot%System32).
Kopiatu PassFiltExBlacklist.txt в C: WindowsSystem32 (Edo %SystemRoot%System32). Beharrezkoa bada, gure txantiloiekin osatuko dugu
- Erregistro-adarra editatzea: HKLMSYSTEMCurrentControlSetControlLsa => Jakinarazpen paketeak
Gehitu PassFiltEx zerrendaren amaieraraino. (Luzapena ez da zehaztu behar.) Eskaneatzeko erabilitako paketeen zerrenda osoa honela izango da "rassfm scecli PassFiltEx".
- Berrabiarazi domeinu-kontrolatzailea.
- Goiko prozedura errepikatzen dugu domeinu-kontrolatzaile guztietarako.
Erregistroko sarrera hauek ere gehi ditzakezu, eta horrek malgutasun handiagoa ematen dizu iragazkia hau erabiltzeko:
kapitulua: HKLMSOFTWAREPassFiltEx — automatikoki sortzen da.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Lehenetsia: PassFiltExBlacklist.txt
Zerrenda beltzaFileName — Pasahitz txantiloiekin fitxategi baterako bide pertsonalizatu bat zehaztea ahalbidetzen dizu. Erregistroko sarrera hau hutsik badago edo existitzen ez bada, bide lehenetsia erabiltzen da, hau da - %SystemRoot%System32. Sareko bide bat ere zehaztu dezakezu, BAINA gogoratu behar duzu txantiloi fitxategiak irakurtzeko, idazteko, ezabatzeko, aldatzeko baimen argiak izan behar dituela.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Lehenetsia: 60
TokenPercentageOfPassword — pasahitz berrian maskaren ehunekoa zehazteko aukera ematen du. Balio lehenetsia %60 da. Adibidez, ehuneko agerraldia 60 bada eta starwars katea txantiloi fitxategian badago, orduan pasahitza Starwars1! pasahitza bitartean baztertu egingo da starwars1!DarthVader88 onartuko da pasahitzaren katearen ehunekoa % 60 baino txikiagoa delako
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Lehenetsia: 0
RequireCharClasses — Pasahitz-eskakizunak zabaltzeko aukera ematen dizu ActiveDirectory-ren pasahitzaren konplexutasun-eskakizun estandarrekin alderatuta. Konplexutasun-baldintzek 3 karaktere mota posibleetatik 5 behar dituzte: maiuskulak, minuskulak, zifrak, bereziak eta Unicode. Erregistroko sarrera hau erabiliz, zure pasahitzaren konplexutasun baldintzak ezar ditzakezu. Zehaztu daitekeen balioa bit multzo bat da, eta horietako bakoitza biren potentzia da.
Hau da, 1 = minuskula, 2 = maiuskula, 4 = zifra, 8 = karaktere berezia eta 16 = Unicode karaktere.
Beraz, 7 balioarekin baldintzak "Maiuskula" izango lirateke ETA minuskula ETA zifra”, eta 31 balioarekin - “Maiuskula ETA letra xehea ETA Kopuru ETA sinbolo berezia ETA Unicode karakterea."
- 19 = “Maiuskulak ere konbina ditzakezu ETA letra xehea ETA Unicode karakterea." -
Txantiloi-fitxategi bat sortzean arau batzuk:
- Txantiloiek maiuskulak eta minuskulak bereizten dituzte. Beraz, fitxategiaren sarrera Star Wars и Star Wars balio bera izango dela zehaztuko da.
- Zerrenda beltzaren fitxategia 60 segundoz behin irakurtzen da, erraz editatu ahal izateko; minutu bat igaro ondoren, iragazkiak erabiliko ditu datu berriak.
- Momentu honetan ez dago Unicode euskarririk ereduak bat etortzeko. Hau da, Unicode karaktereak erabil ditzakezu pasahitzetan, baina iragazkiak ez du funtzionatuko. Hau ez da kritikoa, Unicode pasahitzak erabiltzen dituzten erabiltzaileak ez ditudalako ikusi.
- Txantiloi fitxategian lerro hutsik ez onartzea komeni da. Arazketan errore bat ikus dezakezu fitxategi bateko datuak kargatzean. Iragazkiak funtzionatzen du, baina zergatik aparteko salbuespenak?
Arazketarako, artxiboak batch fitxategiak ditu, erregistro bat sortu eta gero analizatzeko aukera ematen dutenak, adibidez:
Pasahitz-iragazki honek Windows-erako Gertaeren jarraipena erabiltzen du.
Pasahitz iragazki honen ETW hornitzailea da 07d83223-7594-4852-babc-784803fdf6c5. Beraz, adibidez, gertaeren jarraipena konfigura dezakezu honako berrabiarazi ondoren:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Sistemaren hurrengo berrabiarazi ondoren hasiko da traza. Gelditu:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Komando hauek guztiak scriptetan zehazten dira StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Iragazkiaren funtzionamenduaren behin-behineko egiaztapena egiteko, erabil dezakezu StartTracing.cmd и StopTracing.cmd.
Iragazki honen arazketa-hutsa eroso irakurtzeko Microsoft Mezuen aztertzailea Ezarpen hauek erabiltzea gomendatzen da:
Saioa hasi eta analizatzeari uztean Microsoft Mezuen aztertzailea dena honelako itxura du:
Hemen ikus dezakezu erabiltzailearen pasahitza ezartzeko saiakera bat egon dela - hitz magikoak hau esaten digu SET arazketan. Eta pasahitza baztertu egin zen txantiloi-fitxategian egoteagatik eta idatzitako testuan % 30 baino gehiago bat etortzeagatik.
Pasahitza aldatzeko saiakera arrakastatsua egiten bada, honako hau ikusiko dugu:
Azken erabiltzailearentzat eragozpen batzuk daude. Txantiloien fitxategien zerrendan sartzen den pasahitz bat aldatzen saiatzen zarenean, pantailako mezua ez da mezu estandarraren desberdina izango pasahitzaren politika onartzen ez denean.
Beraz, prest egon deietarako eta oihuetarako: "Pasahitza ondo sartu dut, baina ez du funtzionatzen".
Laburpena.
Liburutegi honek Active Directory domeinu batean pasahitz sinpleak edo estandarrak erabiltzea debekatu dezakezu. Esan dezagun "Ez!" bezalako pasahitzak: "P@ssw0rd", "Qwerty123", "ADm1n098".
Bai, noski, erabiltzaileek are gehiago maitatuko zaituzte, haien segurtasuna zaintzeagatik eta pasahitz harrigarriekin asmatu beharragatik. Eta, beharbada, zure pasahitzarekin dei eta laguntza eskaera kopurua handituko da. Baina segurtasunak prezioa du.
Erabilitako baliabideetarako estekak:
Microsoft-en pasahitz-iragazkien liburutegi pertsonalizatuari buruzko artikulua:
PassFiltEx:
Askatzeko esteka:
Pasahitzen zerrendak:
DanielMiessler zerrendak:
weakpass.com-eko hitzen zerrenda:
berzerk0 repo-ko hitz-zerrenda:
Microsoft Message Analyzer:
Iturria: www.habr.com