همانطور که می دانید انسان موجودی تنبل است.
و حتی بیشتر از آن در مورد انتخاب یک رمز عبور قوی.
من فکر می کنم هر مدیری تا به حال با مشکل استفاده از رمزهای عبور سبک و استاندارد مواجه شده است. این پدیده اغلب در میان رده های بالای مدیریت شرکت رخ می دهد. بله، بله، دقیقاً در میان کسانی که به اطلاعات محرمانه یا تجاری دسترسی دارند و از بین بردن عواقب نشت رمز عبور / هک و حوادث بعدی بسیار نامطلوب است.
در عمل من، موردی وجود داشت که در یک دامنه اکتیو دایرکتوری با فعال بودن خط مشی رمز عبور، حسابداران به طور مستقل به این ایده رسیدند که رمز عبوری مانند "Pas$w0rd1234" کاملاً با الزامات خط مشی مطابقت دارد. پیامد آن استفاده گسترده از این رمز عبور در همه جا بود. گاهی اوقات او فقط در مجموعه اعدادش متفاوت بود.
من واقعاً می خواستم بتوانم نه تنها یک خط مشی رمز عبور را فعال کنم و یک مجموعه کاراکتر را تعریف کنم، بلکه بتوانم بر اساس فرهنگ لغت فیلتر کنم. تا امکان استفاده از چنین رمزهای عبور را حذف کنید.
مایکروسافت از طریق لینک به ما اطلاع می دهد که هرکسی می داند چگونه یک کامپایلر، IDE را به درستی در دستان خود نگه دارد و می داند چگونه C++ را به درستی تلفظ کند، می تواند کتابخانه مورد نیاز خود را کامپایل کرده و مطابق با درک خود از آن استفاده کند. بنده حقیر توانایی این را ندارد پس باید دنبال راه حل آماده می گشتم.
پس از ساعتی طولانی جستجو، دو گزینه برای حل مشکل آشکار شد. من البته در مورد راه حل OpenSource صحبت می کنم. پس از همه، گزینه های پولی وجود دارد - از ابتدا تا انتها.
گزینه شماره 1.
حدود 2 سال است که هیچ commitی وجود ندارد، نصب کننده بومی هر از چند گاهی کار می کند، باید دستی آن را اصلاح کنید. سرویس جداگانه خود را ایجاد می کند. هنگام به روز رسانی یک فایل رمز عبور، DLL به طور خودکار محتوای تغییر یافته را دریافت نمی کند، شما باید سرویس را متوقف کنید، یک بازه زمانی منتظر بمانید، فایل را ویرایش کنید و سرویس را شروع کنید.
بدون یخ!
گزینه شماره 2.
این پروژه فعال است، زنده است و حتی نیازی به لگد زدن به بدن سرد نیست.
نصب فیلتر شامل کپی کردن دو فایل و ایجاد چندین ورودی رجیستری است. فایل رمز در یک قفل نیست، یعنی برای ویرایش در دسترس است و طبق ایده نویسنده پروژه، به سادگی یک بار در دقیقه خوانده می شود. همچنین، با استفاده از ورودی های رجیستری اضافی، می توانید هر دو خود فیلتر و حتی تفاوت های ظریف سیاست رمز عبور را پیکربندی کنید.
است.
داده شده: اکتیو دایرکتوری دامنه test.local
ایستگاه کاری آزمایشی ویندوز 8.1 (برای هدف مشکل مهم نیست)
فیلتر رمز عبور PassFiltEx
- آخرین نسخه را از لینک دانلود کنید
- کپی 🀄 PassFiltEx.dll в C: WindowsSystem32 (یا %SystemRoot%System32).
کپی 🀄 PassFiltExBlacklist.txt в C: WindowsSystem32 (یا %SystemRoot%System32). در صورت لزوم، آن را با الگوهای خود تکمیل می کنیم
- ویرایش شعبه رجیستری: HKLMSYSTEMCcurrentControlSetControlLsa => بسته های اطلاع رسانی
اضافه کنید PassFiltEx تا انتهای لیست (لازم نیست برنامه افزودنی مشخص شود.) لیست کامل بسته های مورد استفاده برای اسکن به این صورت خواهد بود.rassfm scecli PassFiltEx".
- دامین کنترلر را مجدد راه اندازی کنید.
- ما روش فوق را برای همه کنترل کننده های دامنه تکرار می کنیم.
همچنین می توانید ورودی های رجیستری زیر را اضافه کنید که به شما انعطاف بیشتری در استفاده از این فیلتر می دهد:
فصل: HKLMSOFTWAREPassFiltEx - به طور خودکار ایجاد می شود.
- hklmsoftwarepassfiltexblacklinfilename، REG_SZ، پیش فرض: PassFiltExBlacklist.txt
لیست سیاه نام فایل - به شما امکان می دهد یک مسیر سفارشی برای یک فایل با الگوهای رمز عبور مشخص کنید. اگر این ورودی رجیستری خالی باشد یا وجود نداشته باشد، از مسیر پیش فرض استفاده می شود که - %SystemRoot%System32. حتی می توانید یک مسیر شبکه را مشخص کنید، اما باید به خاطر داشته باشید که فایل قالب باید مجوزهای واضحی برای خواندن، نوشتن، حذف، تغییر داشته باشد.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword، REG_DWORD، پیش فرض: 60
TokenPercentageOfPassword - به شما امکان می دهد درصد ماسک را در رمز عبور جدید مشخص کنید. مقدار پیش فرض 60٪ است. برای مثال، اگر درصد وقوع 60 باشد و string starwars در فایل الگو باشد، پسورد Starwars1! در حالی که رمز عبور رد خواهد شد starwars1!DarthVader88 پذیرفته می شود زیرا درصد رشته در رمز عبور کمتر از 60٪ است.
- HKLMSOFTWAREPassFiltExRequireCharClasses، REG_DWORD، پیش فرض: 0
RequireCharClasses - به شما اجازه می دهد تا الزامات رمز عبور را در مقایسه با الزامات پیچیدگی رمز عبور استاندارد ActiveDirectory گسترش دهید. الزامات پیچیدگی داخلی به 3 کاراکتر از 5 نوع مختلف ممکن نیاز دارد: حروف بزرگ، کوچک، رقم، ویژه و یونیکد. با استفاده از این ورودی رجیستری، می توانید پیچیدگی رمز عبور خود را تنظیم کنید. مقداری که می توان مشخص کرد مجموعه ای از بیت ها است که هر کدام یک توان متناظر دو است.
یعنی 1 = کوچک، 2 = بزرگ، 4 = رقم، 8 = کاراکتر ویژه و 16 = کاراکتر یونیکد.
بنابراین با مقدار 7 الزامات "حروف بزرگ" خواهد بود و حروف کوچک و رقم" و با مقدار 31 - "حروف بزرگ و حروف کوچک و عددی و نماد خاص و کاراکتر یونیکد."
حتی می توانید ترکیب کنید - 19 = "حروف بزرگ و حروف کوچک و کاراکتر یونیکد." -
تعدادی از قوانین هنگام ایجاد یک فایل الگو:
- الگوها به حروف بزرگ و کوچک حساس هستند. بنابراین، ورودی فایل جنگ ستارگان и جنگ ستارگان همان مقدار تعیین خواهد شد.
- فایل لیست سیاه هر 60 ثانیه یک بار بازخوانی می شود، بنابراین می توانید به راحتی آن را ویرایش کنید؛ پس از یک دقیقه، داده های جدید توسط فیلتر استفاده می شود.
- در حال حاضر هیچ پشتیبانی یونیکد برای تطبیق الگو وجود ندارد. یعنی می توانید از کاراکترهای یونیکد در پسوردها استفاده کنید، اما فیلتر کار نمی کند. این مهم نیست، زیرا من کاربرانی را ندیده ام که از رمزهای عبور یونیکد استفاده کنند.
- توصیه می شود در فایل قالب خطوط خالی را مجاز نکنید. در اشکال زدایی می توانید هنگام بارگیری داده ها از یک فایل خطا را مشاهده کنید. فیلتر کار می کند، اما چرا استثناهای اضافی؟
برای اشکالزدایی، بایگانی حاوی فایلهای دستهای است که به شما امکان میدهد یک گزارش ایجاد کنید و سپس آن را با استفاده از، برای مثال، تجزیه کنید:
این فیلتر رمز عبور از ردیابی رویداد برای ویندوز استفاده می کند.
ارائه دهنده ETW برای این فیلتر رمز عبور است 07d83223-7594-4852-babc-784803fdf6c5. بنابراین، برای مثال، می توانید ردیابی رویداد را پس از راه اندازی مجدد زیر پیکربندی کنید:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
ردیابی پس از راه اندازی مجدد سیستم بعدی شروع می شود. برای متوقف کردن:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
همه این دستورات در اسکریپت ها مشخص شده اند StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
برای بررسی یکباره عملکرد فیلتر می توانید استفاده کنید StartTracing.cmd и StopTracing.cmd.
به منظور خواندن آسان اگزوز اشکال زدایی این فیلتر در تجزیه و تحلیل پیام مایکروسافت توصیه می شود از تنظیمات زیر استفاده کنید:
هنگام توقف ورود و تجزیه تجزیه و تحلیل پیام مایکروسافت همه چیز چیزی شبیه به این است:
در اینجا می توانید ببینید که تلاشی برای تنظیم رمز عبور برای کاربر صورت گرفته است - کلمه جادویی این را به ما می گوید مجموعه در اشکال زدایی و پسورد به دلیل وجود در فایل قالب و تطابق بیش از 30 درصد در متن وارد شده رد شد.
اگر تلاش برای تغییر رمز عبور موفقیت آمیز انجام شود، موارد زیر را مشاهده می کنیم:
برای کاربر نهایی ناراحتی وجود دارد. هنگامی که سعی می کنید رمز عبوری را که در لیست فایل الگوها قرار دارد را تغییر دهید، زمانی که خط مشی رمز عبور عبور داده نمی شود، پیام روی صفحه هیچ تفاوتی با پیام استاندارد ندارد.
بنابراین، برای تماس ها و فریادها آماده باشید: "رمز عبور را درست وارد کردم، اما کار نمی کند."
خلاصه.
این کتابخانه به شما امکان می دهد استفاده از رمزهای عبور ساده یا استاندارد را در دامنه اکتیو دایرکتوری ممنوع کنید. بیایید بگوییم "نه!" رمزهای عبور مانند: "P@ssw0rd"، "Qwerty123"، "ADm1n098".
بله، مطمئناً، کاربران به دلیل مراقبت از امنیت خود و نیاز به ایجاد رمزهای عبور شگفت انگیز شما را بیشتر دوست خواهند داشت. و شاید تعداد تماس ها و درخواست کمک برای رمز عبور شما افزایش یابد. اما امنیت قیمت دارد.
پیوند به منابع استفاده شده:
مقاله مایکروسافت در مورد کتابخانه فیلتر رمز عبور سفارشی:
PassFiltEx:
لینک انتشار:
لیست های رمز عبور:
لیست های دانیل میسلر:
فهرست کلمات از ضعیفگذر.com:
فهرست کلمات از مخزن berzerk0:
تحلیلگر پیام مایکروسافت:
منبع: www.habr.com