Tha an duine, mar a tha fios agad, na chreutair leisg.
Agus eadhon nas motha na sin nuair a thig e gu bhith a’ taghadh facal-faire làidir.
Tha mi a’ smaoineachadh gu robh a h-uile rianaire a-riamh air a dhol an aghaidh duilgheadas a bhith a’ cleachdadh faclan-faire aotrom is àbhaisteach. Bidh an t-iongantas seo gu tric a’ nochdadh am measg nan echelons as àirde de riaghladh chompanaidhean. Tha, tha, dìreach am measg an fheadhainn aig a bheil cothrom air fiosrachadh dìomhair no malairteach agus bhiodh e air leth mì-mhiannach cuir às do bhuaidhean aoidion/hacking facal-faire agus tachartasan eile.
Anns a’ chleachdadh agam, bha cùis ann nuair, ann an àrainn Active Directory le poileasaidh facal-faire air a chomasachadh, thàinig luchd-cunntais gu neo-eisimeileach chun bheachd gu bheil facal-faire mar “Pas$ w0rd1234” a’ freagairt gu foirfe air riatanasan a’ phoileasaidh. Mar thoradh air an sin bha cleachdadh farsaing den fhacal-fhaire seo anns a h-uile àite. Uaireannan cha robh e eadar-dhealaichte ach anns an t-seata àireamhan aige.
Bha mi dha-rìribh ag iarraidh a bhith comasach chan ann a-mhàin air poileasaidh facal-faire a chomasachadh agus seata charactaran a mhìneachadh, ach cuideachd sìoladh le faclair. Gus casg a chuir air a bhith comasach air faclan-faire mar sin a chleachdadh.
Bidh Microsoft gu coibhneil ag innse dhuinn tron cheangal gu bheil neach sam bith aig a bheil fios mar a chumas iad compiler, IDE gu ceart nan làmhan agus aig a bheil fios mar a dh’ fhuaimneachadh C ++ gu ceart, comasach air an leabharlann a tha a dhìth orra a chuir ri chèile agus a chleachdadh a rèir an tuigse fhèin. Chan eil do sheirbhiseach iriosal comasach air seo, agus mar sin b’ fheudar dhomh coimhead airson fuasgladh deiseil.
Às deidh uair a thìde fada de sgrùdadh, chaidh dà roghainn airson fuasgladh fhaighinn air an duilgheadas fhoillseachadh. Tha mi, gu dearbh, a’ bruidhinn air fuasgladh OpenSource. Às deidh na h-uile, tha roghainnean pàighte ann - bho thoiseach gu deireadh.
Roghainn #1.
Chan eil gealltanas sam bith air a bhith ann airson timcheall air 2 bhliadhna a-nis. Bidh an stàlaichear dùthchasach ag obair a-nis agus a-rithist, feumaidh tu a cheartachadh le làimh. A 'cruthachadh a seirbheis fa leth fhèin. Nuair a bhios tu ag ùrachadh faidhle facal-faire, cha bhith an DLL a’ togail an t-susbaint atharraichte gu fèin-ghluasadach; feumaidh tu stad a chuir air an t-seirbheis, feitheamh ùine a-muigh, deasaich am faidhle, agus tòisich an t-seirbheis.
Gun deigh!
Roghainn #2.
Tha am pròiseact gnìomhach, beò agus chan eil feum air eadhon an corp fuar a bhreabadh.
Tha stàladh a’ chriathrag a’ ciallachadh a bhith a’ dèanamh lethbhreac de dhà fhaidhle agus a’ cruthachadh grunn inntrigidhean clàraidh. Chan eil am faidhle facal-faire ann an glas, is e sin, tha e ri fhaighinn airson deasachadh agus, a rèir beachd ùghdar a 'phròiseict, tha e dìreach air a leughadh uair sa mhionaid. Cuideachd, le bhith a’ cleachdadh inntrigidhean clàraidh a bharrachd, faodaidh tu an criathrag fhèin agus eadhon nuances a’ phoileasaidh facal-faire a rèiteachadh.
Uill, an uairsin.
Air a thoirt seachad: Active Directory àrainn test.local
Ionad-obrach deuchainn Windows 8.1 (chan eil e cudromach airson adhbhar na trioblaid)
criathrag facal-faire PassFiltEx
- Luchdaich a-nuas an tionndadh as ùire de link
- Dèan lethbhreac PassFiltEx.dll в C: WindowsSystem32 (no %SystemRoot%Siostam32).
Dèan lethbhreac PassFiltExBlacklist.txt в C: WindowsSystem32 (no %SystemRoot%Siostam32). Ma tha feum air, cuiridh sinn ris na teamplaidean againn fhèin
- Deasachadh meur-chlàraidh: HKLMSYSTEMCurrentControlSetControlLsa => Pacaidean fios
A' cur ris PassFiltEx gu deireadh an liosta. (Chan fheum an leudachadh a bhith air a shònrachadh.) Seallaidh an liosta iomlan de phasganan a chleachdar airson sganadh mar seo “rassfm scecli PassFiltEx".
- Ath-thòisich an rianadair fearainn.
- Bidh sinn ag ath-aithris a’ mhodh-obrach gu h-àrd airson gach riaghladair fearainn.
Faodaidh tu cuideachd na h-inntrigidhean clàraidh a leanas a chur ris, a bheir barrachd sùbailteachd dhut ann a bhith a’ cleachdadh a’ chriathrag seo:
Earrann: HKLMSOFTWAREPassFiltEx - air a chruthachadh gu fèin-ghluasadach.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName - a’ leigeil leat slighe àbhaisteach a shònrachadh gu faidhle le teamplaidean facal-faire. Ma tha an inntrigeadh clàraidh seo falamh no mura bheil e ann, cleachdar an t-slighe bhunaiteach, is e sin - %SystemRoot%Siostam32. Faodaidh tu eadhon slighe lìonra a shònrachadh, ACH feumaidh tu cuimhneachadh gum feum ceadan soilleir a bhith aig an fhaidhle teamplaid airson leughadh, sgrìobhadh, cuir às, atharrachadh.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, bunaiteach: 60
TokenPercentageOfPassword - a’ leigeil leat an àireamh sa cheud den masg a shònrachadh anns an fhacal-fhaire ùr. Is e an luach bunaiteach 60%. Mar eisimpleir, ma tha an ceudad tachartas 60 agus gu bheil an sreang starwars anns an fhaidhle teamplaid, an uairsin am facal-faire rionnagan 1! thèid a dhiùltadh fhad 'sa tha am facal-faire rionnagan 1!DarthVader88 thèid gabhail ris leis gu bheil an àireamh sa cheud den t-sreang san fhacal-fhaire nas lugha na 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, bunaiteach: 0
A dhìth Clasaichean Char - a’ leigeil leat na riatanasan facal-faire a leudachadh an coimeas ri riatanasan iom-fhillteachd facal-faire àbhaisteach ActiveDirectory. Feumaidh na riatanasan iom-fhillteachd togte 3 de na 5 diofar sheòrsaichean charactaran: Uppercase, Lowercase, Digit, Special, agus Unicode. A’ cleachdadh an inntrig clàraidh seo, faodaidh tu na riatanasan iom-fhillteachd facal-faire agad a shuidheachadh. Is e an luach a dh'fhaodar a shònrachadh seata de phìosan, agus tha gach aon dhiubh na chumhachd co-fhreagarrach de dhà.
Is e sin - 1 = litrichean beaga, 2 = litrichean mòra, 4 = figear, 8 = caractar sònraichte, agus 16 = caractar Unicode.
Mar sin le luach 7 bhiodh na riatanasan “Cùis Uarach” AGUS litrichean beaga AGUS figear”, agus le luach 31 - “Cùis àrd AGUS cùis ìosal AGUS digit AGUS samhla sònraichte AGUS Caractar Unicode."
Faodaidh tu eadhon a chur còmhla - 19 = “Cùis àrd AGUS cùis ìosal AGUS Caractar Unicode." -
Tha grunn riaghailtean ann nuair a chruthaicheas tu faidhle teamplaid:
- Tha teamplaidean neo-mhothachail air cùisean. Mar sin, cuir a-steach am faidhle Starwars и Rionnagan thèid a dhearbhadh gur e an aon luach a bhios ann.
- Thèid am faidhle liosta dhubh ath-leughadh a h-uile 60 diog, gus an urrainn dhut a dheasachadh gu furasta; às deidh mionaid, thèid an dàta ùr a chleachdadh leis a’ chriathrag.
- Chan eil taic Unicode ann an-dràsta airson maidseadh phàtranan. Is e sin, faodaidh tu caractaran Unicode a chleachdadh ann am faclan-faire, ach chan obraich an criathrag. Chan eil seo deatamach, oir chan fhaca mi luchd-cleachdaidh a chleachdas faclan-faire Unicode.
- Tha e ciallach gun a bhith a’ ceadachadh loidhnichean falamh san fhaidhle teamplaid. Anns an deasbaid chì thu an uairsin mearachd nuair a bhios tu a’ luchdachadh dàta bho fhaidhle. Bidh an sìoltachan ag obair, ach carson a tha na h-eisgeadan a bharrachd?
Airson debugging, tha faidhlichean baidse anns an tasglann a leigeas leat log a chruthachadh agus an uairsin a pharsadh le bhith a’ cleachdadh, mar eisimpleir,
Bidh an criathrag facal-faire seo a’ cleachdadh Tracadh Tachartas airson Windows.
'S e an solaraiche ETW airson a' chriathrag facal-faire seo 07d83223-7594-4852-babc-784803fdf6c5. Mar sin, mar eisimpleir, faodaidh tu lorg tachartais a rèiteachadh às deidh an ath-thòiseachadh a leanas:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Tòisichidh lorg às deidh an ath ath-thòiseachadh siostam. Gus stad:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Tha na h-òrdughan sin uile air an sònrachadh anns na sgriobtaichean StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Airson sgrùdadh aon-ùine air obrachadh a’ chriathrag, faodaidh tu a chleachdadh TòisichTracing.cmd и StopTracing.cmd.
Gus an tèid an inneal dì-bhugachaidh den chriathrag seo a leughadh a-steach Analyzer teachdaireachd Microsoft Thathas a’ moladh na roghainnean a leanas a chleachdadh:
Nuair a stadas tu logadh a-steach agus parsadh a-steach Analyzer teachdaireachd Microsoft tha a h-uile dad a’ coimhead rudeigin mar seo:
An seo chì thu gun robh oidhirp air facal-faire a shuidheachadh airson an neach-cleachdaidh - tha am facal draoidheachd ag innse seo dhuinn SET ann an deasbug. Agus chaidh am facal-faire a dhiùltadh air sgàth a bhith an làthair anns an fhaidhle teamplaid agus barrachd air 30% a’ maidseadh anns an teacsa a chaidh a chuir a-steach.
Ma thèid oidhirp shoirbheachail a dhèanamh air facal-faire atharrachadh, chì sinn na leanas:
Tha beagan mì-ghoireasachd ann don neach-cleachdaidh deireannach. Nuair a dh'fheuchas tu ri facal-faire atharrachadh a tha air a ghabhail a-steach don fhaidhle liosta teamplaidean, chan eil an teachdaireachd air an sgrion eadar-dhealaichte bhon teachdaireachd àbhaisteach nuair nach tèid am poileasaidh facal-faire seachad.
Mar sin, bi deiseil airson fiosan agus glaodhan: “Chuir mi a-steach am facal-faire gu ceart, ach chan obraich e.”
An toradh.
Leigidh an leabharlann seo leat casg a chuir air cleachdadh faclan-faire sìmplidh no àbhaisteach ann an àrainn Active Directory. Canaidh sinn "Chan eil!" faclan-faire mar: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Tha, gu dearbh, bidh barrachd gràidh aig luchd-cleachdaidh dhut airson a bhith a’ gabhail cùram den tèarainteachd aca agus an fheum air faclan-faire inntinneach a chruthachadh. Agus, is dòcha, meudaichidh an àireamh de ghairmean agus iarrtasan airson cuideachadh leis an fhacal-fhaire agad. Ach thig tèarainteachd aig prìs.
Ceanglaichean gu goireasan a chaidh a chleachdadh:
Artaigil Microsoft a thaobh leabharlann sìoltachain facal-faire àbhaisteach:
PassFiltEx:
Ceangal foillseachaidh:
Liostaichean facal-faire:
DanielMiessler ag ainmeachadh:
Liosta fhaclan bho weakpass.com:
Liosta fhaclan bho berzerk0 repo:
Mion-sgrùdaire Teachdaireachd Microsoft:
Source: www.habr.com