Čovjek je, kao što znate, lijeno stvorenje.
A još više kada je u pitanju odabir jake lozinke.
Mislim da se svaki administrator ikada suočio s problemom korištenja lakih i standardnih lozinki. Ovaj se fenomen često javlja među višim ešalonima menadžmenta poduzeća. Da, da, upravo među onima koji imaju pristup tajnim ili komercijalnim informacijama i bilo bi krajnje nepoželjno eliminirati posljedice curenja/hakiranja lozinki i daljnjih incidenata.
U mojoj praksi, postojao je slučaj kada su, u domeni Active Directory s omogućenom politikom zaporke, računovođe neovisno došli do ideje da lozinka poput "Pas$w0rd1234" savršeno odgovara zahtjevima politike. Posljedica je bila raširena uporaba ove lozinke posvuda. Ponekad se razlikovao samo u svom nizu brojeva.
Stvarno sam želio moći ne samo omogućiti politiku lozinki i definirati skup znakova, već i filtrirati prema rječniku. Kako bi se isključila mogućnost korištenja takvih lozinki.
Microsoft nas putem poveznice ljubazno obavještava da svatko tko zna pravilno držati kompajler, IDE u rukama i zna pravilno izgovoriti C++, može kompajlirati potrebnu biblioteku i koristiti je prema svom razumijevanju. Tvoj ponizni sluga nije sposoban za to, pa sam morao potražiti gotovo rješenje.
Nakon dugog sata potrage, pokazale su se dvije mogućnosti rješenja problema. Govorim, naravno, o OpenSource rješenju. Uostalom, postoje opcije koje se plaćaju – od početka do kraja.
Opcija broj 1.
Nema obveza oko 2 godine. Izvorni instalacijski program radi s vremena na vrijeme, morate ga ispravljati ručno. Stvara svoju zasebnu uslugu. Prilikom ažuriranja datoteke zaporke, DLL ne preuzima automatski promijenjeni sadržaj; trebate zaustaviti uslugu, pričekati vremensko ograničenje, urediti datoteku i pokrenuti uslugu.
Nema leda!
Opcija broj 2.
Projekt je aktivan, živ i nema potrebe čak ni udarati hladno tijelo.
Instalacija filtra uključuje kopiranje dviju datoteka i stvaranje nekoliko unosa u registru. Datoteka s lozinkom nije zaključana, odnosno dostupna je za uređivanje i, prema zamisli autora projekta, jednostavno se čita jednom u minuti. Također, pomoću dodatnih unosa u registru, možete dodatno konfigurirati i sam filtar, pa čak i nijanse pravila zaporke.
Dakle.
Dano: Active Directory domena test.local
Windows 8.1 testna radna stanica (nije važno za svrhu problema)
filter lozinke PassFiltEx
- Preuzmite najnovije izdanje s poveznice
- Kopirati PassFiltEx.dll в C: WindowsSystem32 (Ili %SystemRoot%System32).
Kopirati PassFiltExBlacklist.txt в C: WindowsSystem32 (Ili %SystemRoot%System32). Po potrebi ga dopunjavamo vlastitim predlošcima
- Uređivanje grane registra: HKLMSYSTEMcurrentControlSetControlLsa => Paketi obavijesti
Dodavanje PassFiltEx do kraja popisa. (Proširenje nije potrebno navesti.) Potpuni popis paketa korištenih za skeniranje izgledat će ovako "rassfm scecli PassFiltEx”.
- Ponovno pokrenite kontroler domene.
- Gornji postupak ponavljamo za sve kontrolere domene.
Također možete dodati sljedeće unose registra, što vam daje veću fleksibilnost u korištenju ovog filtra:
odjeljak: HKLMSOFTWAREPassFiltEx — kreira se automatski.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Zadano: PassFiltExBlacklist.txt
Crna listaNazivDatoteke — omogućuje vam da odredite prilagođeni put do datoteke s predlošcima lozinki. Ako je ovaj unos registra prazan ili ne postoji, koristi se zadana staza, a to je - %SystemRoot%System32. Možete čak odrediti i mrežni put, ALI morate zapamtiti da datoteka predloška mora imati jasna dopuštenja za čitanje, pisanje, brisanje, promjenu.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Zadano: 60
TokenPercentageOfPassword — omogućuje vam da odredite postotak maske u novoj lozinci. Zadana vrijednost je 60%. Na primjer, ako je postotak pojavljivanja 60 i niz starwars je u datoteci predloška, tada je lozinka Ratovi zvijezda1! bit će odbijen dok lozinka zvjezdani ratovi1!DarthVader88 bit će prihvaćen jer je postotak niza u zaporci manji od 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Zadano: 0
RequireCharClasses — omogućuje vam proširenje zahtjeva za lozinku u usporedbi sa standardnim zahtjevima za složenost lozinke ActiveDirectory. Zahtjevi ugrađene složenosti zahtijevaju 3 od 5 mogućih različitih vrsta znakova: velika slova, mala slova, znamenke, posebne i Unicode. Pomoću ovog unosa u registru možete postaviti zahtjeve složenosti lozinke. Vrijednost koja se može specificirati je skup bitova, od kojih je svaki odgovarajuća potencija dvojke.
Odnosno, 1 = malo slovo, 2 = veliko slovo, 4 = znamenka, 8 = poseban znak i 16 = Unicode znak.
Dakle, s vrijednošću 7 zahtjevi bi bili "velika slova" I mala slova I znamenka”, a s vrijednošću 31 - “Velika slova I mala slova I brojka I poseban simbol I Unicode znak."
Možete čak kombinirati - 19 = “Velika slova I mala slova I Unicode znak." -
Nekoliko pravila pri izradi datoteke predloška:
- Predlošci ne razlikuju velika i mala slova. Stoga je unos datoteke star Wars и StarWarS utvrdit će se da je ista vrijednost.
- Datoteka crne liste ponovno se čita svakih 60 sekundi, tako da je možete jednostavno uređivati; nakon jedne minute filtar će koristiti nove podatke.
- Trenutno ne postoji podrška za Unicode za podudaranje uzoraka. To jest, možete koristiti Unicode znakove u lozinkama, ali filtar neće raditi. Ovo nije kritično, jer nisam vidio korisnike koji koriste Unicode lozinke.
- Preporučljivo je ne dopustiti prazne retke u datoteci predloška. U otklanjanju pogrešaka tada možete vidjeti pogrešku prilikom učitavanja podataka iz datoteke. Filtar radi, ali čemu dodatne iznimke?
Za otklanjanje pogrešaka, arhiva sadrži skupne datoteke koje vam omogućuju da stvorite zapisnik i zatim ga analizirate pomoću, na primjer,
Ovaj filtar lozinki koristi praćenje događaja za Windows.
ETW dobavljač za ovaj filter lozinki je 07d83223-7594-4852-babc-784803fdf6c5. Tako, na primjer, možete konfigurirati praćenje događaja nakon sljedećeg ponovnog pokretanja:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Praćenje će započeti nakon sljedećeg ponovnog pokretanja sustava. Zaustaviti:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Sve ove naredbe navedene su u skriptama StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Za jednokratnu provjeru rada filtera možete koristiti StartTracing.cmd и StopTracing.cmd.
Kako bi se prikladno očitao ispuh otklanjanja pogrešaka ovog filtra u Microsoft Message Analyzer Preporuča se korištenje sljedećih postavki:
Prilikom zaustavljanja prijave i raščlanjivanja Microsoft Message Analyzer sve izgleda otprilike ovako:
Ovdje možete vidjeti da je bilo pokušaja postavljanja lozinke za korisnika - to nam govori čarobna riječ SET u otklanjanju pogrešaka. I lozinka je odbijena zbog prisutnosti u datoteci predloška i više od 30% podudaranja u unesenom tekstu.
Ako se pokuša uspješno promijeniti lozinka, vidimo sljedeće:
Postoji određena neugodnost za krajnjeg korisnika. Kada pokušate promijeniti zaporku koja je uključena u datoteku s popisom predložaka, poruka na zaslonu ne razlikuje se od standardne poruke kada pravilo zaporke nije proslijeđeno.
Stoga, budite spremni na pozive i povike: "Unio sam ispravno lozinku, ali ne radi."
Sažetak.
Ova biblioteka vam omogućuje da zabranite korištenje jednostavnih ili standardnih lozinki u domeni Active Directory. Recimo "Ne!" lozinke poput: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Da, naravno, korisnici će vas još više voljeti zbog takve brige o njihovoj sigurnosti i potrebe da smišljate nevjerojatne lozinke. A možda će se broj poziva i zahtjeva za pomoć oko vaše lozinke povećati. Ali sigurnost ima svoju cijenu.
Linkovi na korištene resurse:
Microsoftov članak o biblioteci prilagođenih filtara zaporki:
PassFiltEx:
Poveznica za izdavanje:
Popisi lozinki:
DanielMiessler navodi:
Popis riječi sa weakpass.com:
Popis riječi iz berzerk0 repoa:
Microsoftov analizator poruka:
Izvor: www.habr.com