Man, jan ou konnen, se yon bèt parese.
E menm plis lè li rive chwazi yon modpas solid.
Mwen panse ke chak administratè te janm fè fas a pwoblèm nan lè l sèvi avèk modpas limyè ak estanda. Fenomèn sa a souvan rive nan mitan echèl yo anwo nan jesyon konpayi. Wi, wi, jisteman nan mitan moun ki gen aksè a enfòmasyon sekrè oswa komèsyal epi li ta trè endezirab elimine konsekans yo nan fwit modpas / piratage ak plis ensidan.
Nan pratik mwen an, te gen yon ka lè, nan yon domèn Active Directory ak yon politik modpas aktive, kontab poukont yo te vin nan lide ke yon modpas tankou "Pas$w0rd1234" adapte kondisyon yo parfe. Konsekans se te itilizasyon modpas sa a toupatou. Pafwa li diferan sèlman nan seri nimewo li yo.
Mwen reyèlman te vle pou kapab non sèlman pèmèt yon politik modpas ak defini yon seri karaktè, men tou, filtre pa diksyonè. Pou eskli posiblite pou itilize modpas sa yo.
Microsoft dous enfòme nou atravè lyen an ke nenpòt moun ki konnen ki jan yo kenbe yon du, IDE kòrèkteman nan men yo epi ki konnen ki jan yo pwononse C++ kòrèkteman, se kapab konpile bibliyotèk la yo bezwen epi sèvi ak li selon pwòp konpreyansyon yo. Sèvitè ou a pa kapab fè sa, kidonk mwen te oblije chèche yon solisyon pare.
Apre yon èdtan long nan rechèch, de opsyon pou rezoud pwoblèm nan te revele. Mwen menm, nan kou, ap pale sou solisyon an OpenSource. Apre yo tout, gen opsyon peye - depi nan kòmansman rive nan fini.
Nimewo Opsyon 1.
Pa gen okenn komèt pou apeprè 2 ane kounye a. Enstalatè natif natal la ap travay detanzantan, ou dwe korije li manyèlman. Kreye pwòp sèvis separe li yo. Lè w mete ajou yon fichye modpas, DLL la pa otomatikman ranmase kontni ki chanje a; ou bezwen sispann sèvis la, tann yon tan, modifye fichye a epi kòmanse sèvis la.
Pa gen glas!
Nimewo Opsyon 2.
Pwojè a se aktif, vivan epi pa gen okenn bezwen menm choute kò a frèt.
Enstale filtè a enplike nan kopye de dosye ak kreye plizyè antre rejis. Fichye modpas la pa nan yon seri, se sa ki disponib pou koreksyon epi, dapre lide otè a nan pwojè a, li se tou senpleman li yon fwa yon minit. Epitou, lè l sèvi avèk antre rejis adisyonèl, ou ka plis konfigirasyon tou de filtre nan tèt li e menm nuans yo nan politik modpas la.
Se konsa,
Bay: Test.local domèn aktif
Windows 8.1 estasyon travay tès (pa enpòtan pou rezon pwoblèm nan)
filtre modpas PassFiltEx
- Telechaje dènye lage sou lyen an
- Kopi PassFiltEx.dll в C: WindowsSystem32 (Oswa %SystemRoot%System32).
Kopi PassFiltExBlacklist.txt в C: WindowsSystem32 (Oswa %SystemRoot%System32). Si sa nesesè, nou konplete li ak modèl pwòp nou yo
- Modification branch rejis la: HKLMSYSTEMCurrentControlSetControlLsa => Pakè Notifikasyon
Ajoute PassFiltEx nan fen lis la. (Li pa bezwen espesifye ekstansyon an.) Lis konplè pakè yo itilize pou eskanè yo pral sanble sa a "rassfm scecli PassFiltEx".
- Rdemare kontwolè domèn lan.
- Nou repete pwosedi ki anwo a pou tout contrôleur domèn.
Ou kapab tou ajoute antre rejis sa yo, ki ba ou plis fleksibilite lè w sèvi ak filtè sa a:
Chapit: HKLMSOFTWAREPassFiltEx — se kreye otomatikman.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName — pèmèt ou presize yon chemen koutim nan yon dosye ak modèl modpas. Si antre rejis sa a vid oswa li pa egziste, yo itilize chemen default la, ki se - %SystemRoot%System32. Ou ka menm presize yon chemen rezo, MEN ou bezwen sonje ke fichye modèl la dwe gen otorizasyon klè pou li, ekri, efase, chanje.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword — pèmèt ou presize pousantaj mask la nan nouvo modpas la. Valè default la se 60%. Pou egzanp, si ensidan an pousantaj se 60 epi starwars nan fisèl se nan dosye modèl la, Lè sa a, modpas la. Starwars1! pral rejte pandan y ap modpas la starwars1!DarthVader88 yo pral aksepte paske pousantaj fisèl la nan modpas la se mwens pase 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
RequireCharClasses — pèmèt ou elaji kondisyon modpas yo konpare ak kondisyon estanda modpas ActiveDirectory konpleksite. Kondisyon konpleksite entegre yo mande pou 3 nan 5 diferan kalite karaktè posib: Majuskil, Miniskil, Chif, Espesyal, ak Unicode. Sèvi ak antre rejis sa a, ou ka mete kondisyon konpleksite modpas ou. Valè a ki ka espesifye se yon seri Bits, chak nan yo ki se yon pouvwa korespondan de.
Sa vle di, 1 = miniskil, 2 = majiskil, 4 = chif, 8 = karaktè espesyal, ak 16 = karaktè Unicode.
Se konsa, ak yon valè de 7 kondisyon yo ta dwe "Majiskil" AK miniskil AK chif", ak yon valè 31 - "Majiskil AK miniskil AK chif AK senbòl espesyal AK karaktè Unicode."
Ou ka menm konbine - 19 = "Majiskil AK miniskil AK karaktè Unicode." -
Yon kantite règ lè w ap kreye yon fichye modèl:
- Modèl yo ensansib majiskil. Se poutèt sa, antre nan dosye Starwar и StarWarS pral detèmine yo gen menm valè a.
- Fichye lis nwa a re-li chak 60 segonn, konsa ou ka fasilman modifye li; apre yon minit, nouvo done yo pral itilize pa filtè a.
- Kounye a pa gen sipò Unicode pou matche modèl. Sa vle di, ou ka itilize karaktè Unicode nan modpas, men filtè a pa pral travay. Sa a se pa kritik, paske mwen pa te wè itilizatè ki itilize modpas Unicode.
- Li rekòmande pou pa pèmèt liy vid nan dosye modèl la. Nan debug la ou ka wè yon erè lè w ap chaje done ki sòti nan yon dosye. Filtè a ap travay, men poukisa eksepsyon siplemantè yo?
Pou debogaj, achiv la gen dosye pakèt ki pèmèt ou kreye yon boutèy demi lit epi analize li lè l sèvi avèk, pou egzanp,
Filtre modpas sa a itilize Event Tracing pou Windows.
Founisè ETW pou filtè modpas sa a se 07d83223-7594-4852-babc-784803fdf6c5. Se konsa, pou egzanp, ou ka configured trase evènman apre rdemare sa a:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Trase ap kòmanse apre pwochen rdemare sistèm lan. Pou sispann:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Tout kòmandman sa yo espesifye nan scripts yo StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Pou yon chèk yon sèl fwa nan operasyon an filtre, ou ka itilize StartTracing.cmd и StopTracing.cmd.
Yo nan lòd yo li fasilman echapman debug nan filtè sa a nan Microsoft Message Analyzer Li rekòmande pou itilize paramèt sa yo:
Lè w sispann antre ak analize Microsoft Message Analyzer tout bagay sanble yon bagay tankou sa a:
Isit la ou ka wè ke te gen yon tantativ pou mete yon modpas pou itilizatè a - mo majik la di nou sa a SET nan debug. Epi modpas la te rejte akòz prezans li nan dosye modèl la ak plis pase 30% matche ak nan tèks la antre.
Si yo fè yon tantativ chanje modpas siksè, nou wè bagay sa yo:
Gen kèk deranjman pou itilizatè final la. Lè w eseye chanje yon modpas ki enkli nan lis fichye modèl yo, mesaj ki sou ekran an pa diferan de mesaj estanda a lè politik modpas la pa pase.
Se poutèt sa, prepare pou apèl ak rèl: "Mwen te antre modpas la kòrèkteman, men li pa travay."
Liy anba la.
Bibliyotèk sa a pèmèt ou entèdi itilizasyon modpas senp oswa estanda nan yon domèn Active Directory. Ann di "Non!" modpas tankou: "P@ssw0rd", "Qwerty123", "ADm1n098".
Wi, nan kou, itilizatè yo pral renmen ou menm plis pou pran swen sa yo nan sekirite yo ak bezwen an vini ak modpas tèt-mouche. Epi, petèt, kantite apèl ak demann pou èd ak modpas ou a ap ogmante. Men, sekirite vini nan yon pri.
Lyen ki mennen nan resous yo itilize:
Atik Microsoft konsènan yon bibliyotèk filtre modpas koutim:
PassFiltEx:
Lyen lage:
Lis modpas:
DanielMiessler bay lis:
Lis mo soti nan weakpass.com:
Lis mo soti nan repo berzerk0:
Microsoft Message Analyzer:
Sous: www.habr.com