Ihminen, kuten tiedät, on laiska olento.
Ja vielä enemmän, kun on valittava vahva salasana.
Luulen, että jokainen järjestelmänvalvoja on koskaan kohdannut kevyiden ja tavallisten salasanojen käytön ongelman. Tämä ilmiö esiintyy usein yrityksen johdon ylemmissä ryhmissä. Kyllä, kyllä, juuri niiden joukossa, joilla on pääsy salaisiin tai kaupallisiin tietoihin, ja olisi äärimmäisen epätoivottavaa eliminoida salasanavuotojen/hakkeroinnin ja muiden tapahtumien seuraukset.
Käytännössäni oli tapaus, jossa Active Directory -verkkotunnuksessa, jossa salasanakäytäntö oli käytössä, kirjanpitäjät tulivat itsenäisesti käsitykseen, että salasana, kuten “Pas$w0rd1234”, sopii täydellisesti käytäntövaatimuksiin. Seurauksena oli tämän salasanan laaja käyttö kaikkialla. Joskus hän erosi vain numerosarjastaan.
Halusin todella pystyä ottamaan käyttöön salasanakäytännön ja määrittelemään merkistöä, mutta myös suodattamaan sanakirjan mukaan. Tällaisten salasanojen käyttömahdollisuuden poissulkeminen.
Microsoft ystävällisesti ilmoittaa linkin kautta, että jokainen, joka osaa pitää kääntäjää, IDE:tä oikein kädessään ja osaa ääntää C++ oikein, pystyy kokoamaan tarvitsemansa kirjaston ja käyttämään sitä oman ymmärryksensä mukaan. Nöyrä palvelijasi ei pysty tähän, joten minun piti etsiä valmis ratkaisu.
Pitkän tunnin etsinnän jälkeen ongelman ratkaisemiseksi paljastui kaksi vaihtoehtoa. Puhun tietysti OpenSource-ratkaisusta. Loppujen lopuksi on olemassa maksullisia vaihtoehtoja - alusta loppuun.
Vaihtoehto numero 1.
Ei ole ollut committeja nyt noin 2 vuoteen.. Natiiviasennusohjelma toimii silloin tällöin, täytyy korjata manuaalisesti. Luo oman erillisen palvelun. Salasanatiedostoa päivitettäessä DLL ei poimi muuttunutta sisältöä automaattisesti, vaan palvelu täytyy pysäyttää, odottaa aikakatkaisu, muokata tiedostoa ja käynnistää palvelu.
Ei jäätä!
Vaihtoehto numero 2.
Projekti on aktiivinen, elossa ja kylmää kehoa ei tarvitse edes potkia.
Suodattimen asentaminen edellyttää kahden tiedoston kopioimista ja useiden rekisterimerkintöjen luomista. Salasanatiedosto ei ole lukossa, eli se on muokattavissa ja projektin tekijän idean mukaan se vain luetaan kerran minuutissa. Lisäksi käyttämällä lisärekisterimerkintöjä voit edelleen määrittää sekä itse suodatinta että jopa salasanakäytännön vivahteita.
So.
Annettu: Active Directory -verkkotunnus test.local
Windows 8.1 -testityöasema (ei tärkeä ongelman kannalta)
salasanasuodatin PassFiltEx
- Lataa uusin julkaisu linkistä
- Kopio PassFiltEx.dll в C: WindowsSystem32 (tai % SystemRoot% System32).
Kopio PassFiltExBlacklist.txt в C: WindowsSystem32 (tai % SystemRoot% System32). Täydennämme sitä tarvittaessa omilla malleillamme
- Rekisterin haaran muokkaaminen: HKLMSYSTEMCurrentControlSetControlLsa => Ilmoituspaketit
Lisätä PassFiltEx listan loppuun. (Laajennusta ei tarvitse määrittää.) Täydellinen luettelo skannaukseen käytetyistä paketeista näyttää tältä "rassfm scecli PassFiltEx".
- Käynnistä toimialueen ohjain uudelleen.
- Toistamme edellä mainitut toimenpiteet kaikille toimialueen ohjauskoneille.
Voit myös lisätä seuraavat rekisterimerkinnät, mikä antaa sinulle enemmän joustavuutta tämän suodattimen käytössä:
jakso: HKLMSOFTWAREPassFiltEx - luodaan automaattisesti.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, oletus: PassFiltExBlacklist.txt
BlacklistFileName — voit määrittää mukautetun polun tiedostoon salasanamalleilla. Jos tämä rekisterimerkintä on tyhjä tai sitä ei ole olemassa, käytetään oletuspolkua, joka on - % SystemRoot% System32. Voit jopa määrittää verkkopolun, MUTTA sinun on muistettava, että mallitiedostolla on oltava selkeät oikeudet lukea, kirjoittaa, poistaa, muuttaa.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Oletus: 60
TokenPercentageOfPassword — voit määrittää maskin prosenttiosuuden uudessa salasanassa. Oletusarvo on 60 %. Esimerkiksi, jos esiintymisprosentti on 60 ja merkkijono starwars on mallitiedostossa, salasana Starwars 1! hylätään salasanan aikana starwars1!DarthVader88 hyväksytään, koska merkkijonon prosenttiosuus salasanassa on alle 60 %
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Oletus: 0
RequireCharClasses — voit laajentaa salasanavaatimuksia verrattuna ActiveDirectoryn vakiosalasanojen monimutkaisuusvaatimuksiin. Sisäänrakennetut monimutkaisuusvaatimukset edellyttävät kolmea viidestä mahdollisesta eri merkistä: isot kirjaimet, pienet kirjaimet, numerot, erikoismerkit ja Unicode. Tämän rekisterimerkinnän avulla voit määrittää salasanasi monimutkaisuusvaatimukset. Arvo, joka voidaan määrittää, on joukko bittejä, joista jokainen on kahden vastaava potenssi.
Eli - 1 = pienet kirjaimet, 2 = isot kirjaimet, 4 = numero, 8 = erikoismerkki ja 16 = Unicode-merkki.
Joten arvolla 7 vaatimukset olisivat "isot kirjaimet" JA pienet kirjaimet JA numero" ja arvolla 31 - "Isot kirjaimet JA pienet kirjaimet JA kuvio JA erityinen symboli JA Unicode-merkki."
Voit jopa yhdistää - 19 = "Isot kirjaimet JA pienet kirjaimet JA Unicode-merkki." -
Useita sääntöjä luotaessa mallitiedostoa:
- Malleissa kirjainkoko ei erota. Siksi tiedostomerkintä tähtien sota и Tähtien sota määritetään olevan sama arvo.
- Musta lista -tiedosto luetaan uudelleen 60 sekunnin välein, joten voit helposti muokata sitä; minuutin kuluttua suodatin käyttää uudet tiedot.
- Tällä hetkellä ei ole Unicode-tukea kuvioiden vastaavuudelle. Eli voit käyttää Unicode-merkkejä salasanoissa, mutta suodatin ei toimi. Tämä ei ole kriittinen, koska en ole nähnyt käyttäjiä, jotka käyttävät Unicode-salasanoja.
- On suositeltavaa olla sallimatta tyhjiä rivejä mallitiedostossa. Virheenkorjauksessa näet virheen ladattaessa tietoja tiedostosta. Suodatin toimii, mutta miksi ylimääräiset poikkeukset?
Virheenkorjausta varten arkisto sisältää erätiedostoja, joiden avulla voit luoda lokin ja jäsentää sen käyttämällä esim.
Tämä salasanasuodatin käyttää Event Tracing for Windows -toimintoa.
Tämän salasanasuodattimen ETW-palveluntarjoaja on 07d83223-7594-4852-babc-784803fdf6c5. Joten voit esimerkiksi määrittää tapahtumien jäljityksen seuraavan uudelleenkäynnistyksen jälkeen:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Jäljitys alkaa seuraavan järjestelmän uudelleenkäynnistyksen jälkeen. Pysähtyä:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Kaikki nämä komennot on määritelty skripteissä StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Suodattimen toiminnan kertatarkastukseen voit käyttää StartTracing.cmd и StopTracing.cmd.
Tämän suodattimen virheenkorjausviestin lukemiseksi kätevästi Microsoft Message Analyzer On suositeltavaa käyttää seuraavia asetuksia:
Kun lopetat kirjautumisen ja jäsentämisen Microsoft Message Analyzer kaikki näyttää jotakuinkin tältä:
Tästä näet, että käyttäjälle yritettiin asettaa salasana - taikasana kertoo meille tämän SARJA debugissa. Ja salasana hylättiin, koska se oli mallitiedostossa ja yli 30% vastaa annetussa tekstissä.
Jos salasanan vaihto on onnistunut, näemme seuraavan:
Loppukäyttäjälle aiheutuu jonkin verran haittaa. Kun yrität vaihtaa malliluettelossa olevaa salasanaa, näytöllä näkyvä viesti ei eroa tavallisesta viestistä, kun salasanakäytäntöä ei ole hyväksytty.
Siksi varaudu puheluihin ja huutoon: "Kirjoitin salasanan oikein, mutta se ei toimi."
Yhteenveto.
Tämän kirjaston avulla voit estää yksinkertaisten tai vakiosalasanojen käytön Active Directory -toimialueella. Sanotaan "Ei!" salasanat, kuten: "P@ssw0rd", "Qwerty123", "ADm1n098".
Kyllä, tietenkin, käyttäjät rakastavat sinua entistä enemmän, kun pidät huolta turvallisuudestaan ja tarpeesta keksiä hämmentäviä salasanoja. Ja ehkä salasanaasi koskevien puheluiden ja avunpyyntöjen määrä kasvaa. Mutta turvallisuudella on hintansa.
Linkkejä käytettyihin resursseihin:
Microsoftin artikkeli mukautetusta salasanasuodatinkirjastosta:
PassFiltEx:
Julkaisulinkki:
Salasanaluettelot:
DanielMiessler listaa:
Sanalista heikkopass.com-sivustolta:
Sanalista berzerk0 reposta:
Microsoft Message Analyzer:
Lähde: will.com