ProHoster > Blog > Adminisztráció > Hogyan lehet letiltani az alapértelmezett jelszavakat, és mindenkit megutálni
Hogyan lehet letiltani az alapértelmezett jelszavakat, és mindenkit megutálni
Az ember, mint tudod, lusta lény.
És még inkább, ha erős jelszó választásáról van szó.
Szerintem minden rendszergazda szembesült már a könnyű és szabványos jelszavak használatának problémájával. Ez a jelenség gyakran előfordul a vállalatvezetés felső szintjén. Igen, igen, pontosan azok körében, akik titkos vagy kereskedelmi információkhoz férnek hozzá, és rendkívül nem kívánatos lenne a jelszókiszivárogtatás/hackelés és a további incidensek következményeit kiküszöbölni.
Gyakorlatomban előfordult, hogy egy Active Directory tartományban, ahol engedélyezett a jelszóházirend, a könyvelők önállóan arra az ötletre jutottak, hogy a „Pas$w0rd1234”-hez hasonló jelszó tökéletesen megfelel a házirend követelményeinek. Ennek a jelszónak a mindenhol elterjedt használata volt a következménye. Néha csak a számkészletében különbözött.
Nagyon szerettem volna, ha nem csak jelszóházirendet engedélyezhetek és karakterkészletet definiálhatok, hanem szótár szerint is szűrhetek. Az ilyen jelszavak használatának lehetőségének kizárása.
A Microsoft a linken keresztül tájékoztat minket, hogy aki tudja, hogyan kell helyesen a kezében tartani egy fordítót, IDE-t, és tudja, hogyan kell helyesen kiejteni a C++-t, az képes a számára szükséges könyvtárat összeállítani és saját értelmezése szerint használni. Szerény szolgád erre nem képes, ezért kész megoldást kellett keresnem.
Hosszú óra keresgélés után a probléma megoldására két lehetőség tárult fel. Természetesen az OpenSource megoldásról beszélek. Végül is vannak fizetős lehetőségek - az elejétől a végéig.
Kb. 2 éve nincs commit, a natív telepítő időnként működik, manuálisan kell javítani. Saját külön szolgáltatást hoz létre. Jelszófájl frissítésekor a DLL nem veszi fel automatikusan a megváltozott tartalmat, le kell állítani a szolgáltatást, várni kell egy időtúllépést, módosítani kell a fájlt, és el kell indítani a szolgáltatást.
A projekt aktív, él, és még a hideg testet sem kell rúgni.
A szűrő telepítése két fájl másolásával és több beállításjegyzék-bejegyzés létrehozásával jár. A jelszófájl nincs zárban, azaz szerkeszthető, és a projekt szerzőjének elképzelése szerint percenként egyszer csak elolvasásra kerül. Ezenkívül további beállításjegyzék-bejegyzések használatával tovább konfigurálhatja magát a szűrőt és még a jelszóházirend árnyalatait is.
Így.
Adott: Active Directory tartomány test.local
Windows 8.1 tesztmunkaállomás (nem fontos a probléma szempontjából)
jelszószűrő PassFiltEx
Másolat PassFiltEx.dll в C: WindowsSystem32 (vagy %SystemRoot%System32).
Másolat PassFiltExBlacklist.txt в C: WindowsSystem32 (vagy %SystemRoot%System32). Szükség esetén saját sablonokkal kiegészítjük
A rendszerleíró ág szerkesztése: HKLMSYSTEMCurrentControlSetControlLsa => Értesítési csomagok
hozzáadása PassFiltEx a lista végére. (A kiterjesztést nem kell megadni.) A szkenneléshez használt csomagok teljes listája így fog kinézni:rassfm scecli PassFiltEx”.
Indítsa újra a tartományvezérlőt.
A fenti eljárást minden tartományvezérlőre megismételjük.
A következő beállításjegyzék-bejegyzéseket is hozzáadhatja, ami nagyobb rugalmasságot biztosít a szűrő használatában:
BlacklistFileName — lehetővé teszi egy fájl egyéni elérési útjának megadását jelszósablonokkal. Ha ez a bejegyzés üres vagy nem létezik, akkor az alapértelmezett elérési út kerül felhasználásra, amely a - %SystemRoot%System32. Akár hálózati elérési utat is megadhat, DE emlékeznie kell arra, hogy a sablonfájlnak egyértelmű olvasási, írási, törlési, módosítási jogosultságokkal kell rendelkeznie.
TokenPercentageOfPassword — lehetővé teszi a maszk százalékos arányának megadását az új jelszóban. Az alapértelmezett érték 60%. Például, ha az előfordulási százalék 60, és a starwars karakterlánc szerepel a sablonfájlban, akkor a jelszó Starwars1! a jelszó visszautasításra kerül starwars1!DarthVader88 elfogadja, mert a karakterlánc százaléka a jelszóban kevesebb, mint 60%
RequireCharClasses — lehetővé teszi a jelszókövetelmények kiterjesztését az ActiveDirectory szabványos jelszó-összetettségi követelményeihez képest. A beépített összetettségi követelmények az 3 különböző karakter közül 5-at igényelnek: nagybetűk, kisbetűk, számjegyek, speciális és Unicode. Ezzel a beállításjegyzék-bejegyzéssel beállíthatja a jelszó összetettségi követelményeit. A megadható érték bitek halmaza, amelyek mindegyike kettőnek megfelelő hatványa.
Vagyis 1 = kisbetű, 2 = nagybetű, 4 = számjegy, 8 = speciális karakter és 16 = Unicode karakter.
Tehát 7-es érték esetén a követelmény „nagybetű” lenne ÉS kisbetűvel ÉS számjegy”, és 31 értékkel - „Nagybetű ÉS kisbetűs ÉS ábra ÉS különleges szimbólum ÉS Unicode karakter."
Akár kombinálhatja is - 19 = „Nagybetű ÉS kisbetűs ÉS Unicode karakter."
Számos szabály a sablonfájl létrehozásakor:
A sablonok nem különböznek egymástól. Ezért a fájl bejegyzés csillagok háborúja и Csillagok háborúja azonos értékre lesz meghatározva.
A feketelista fájl 60 másodpercenként újraolvasásra kerül, így könnyen szerkeszthető, egy perc múlva az új adatokat használja a szűrő.
Jelenleg nincs Unicode támogatás a mintaillesztéshez. Vagyis használhat Unicode karaktereket a jelszavakban, de a szűrő nem fog működni. Ez nem kritikus, mert nem láttam Unicode jelszavakat használó felhasználókat.
Célszerű nem engedélyezni az üres sorokat a sablonfájlban. A hibakeresésben ezután hiba jelenik meg az adatok fájlból való betöltésekor. A szűrő működik, de minek az extra kivételek?
A hibakereséshez az archívum kötegfájlokat tartalmaz, amelyek lehetővé teszik napló létrehozását, majd elemzését például Microsoft Message Analyzer.
Ez a jelszószűrő az Event Tracing for Windows szolgáltatást használja.
Ennek a jelszószűrőnek az ETW-szolgáltatója 07d83223-7594-4852-babc-784803fdf6c5. Így például beállíthatja az eseménykövetést a következő újraindítás után: logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
A nyomkövetés a rendszer következő újraindítása után indul el. Megállni: logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Mindezek a parancsok a szkriptekben vannak megadva StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
A szűrő működésének egyszeri ellenőrzéséhez használhatja StartTracing.cmd и StopTracing.cmd.
Annak érdekében, hogy kényelmesen beolvassa ennek a szűrőnek a hibakeresési kimenetét Microsoft Message Analyzer A következő beállítások használata javasolt:
A bejelentkezés és az elemzés leállításakor Microsoft Message Analyzer minden valahogy így néz ki:
Itt látható, hogy a felhasználó jelszavát próbálták beállítani – erről árulkodik a varázsszó SET hibakeresésben. A jelszót pedig a sablonfájlban való jelenléte és a beírt szövegben több mint 30%-os egyezés miatt elutasították.
Ha sikeres jelszómódosítási kísérlet történik, a következőket látjuk:
Van némi kellemetlenség a végfelhasználó számára. Amikor megpróbál módosítani egy, a sablonok listájában szereplő jelszót, a képernyőn megjelenő üzenet nem különbözik a szabványos üzenettől, ha a jelszóházirend nem került átadásra.
Ezért készüljön fel hívásokra és kiáltásokra: „Helyesen adtam meg a jelszót, de nem működik.”
Összegzés.
Ez a könyvtár lehetővé teszi az egyszerű vagy szabványos jelszavak használatának tiltását az Active Directory tartományban. Mondjuk: "Nem!" jelszavak, például: „P@ssw0rd”, „Qwerty123”, „ADm1n098”.
Igen, természetesen a felhasználók még jobban szeretni fogják Önt, amiért ennyire gondoskodik a biztonságukról, és észbontó jelszavakat kell kitalálnia. És talán növekedni fog a jelszóval kapcsolatos hívások és segítségkérések száma. De a biztonságnak ára van.
Linkek a felhasznált forrásokhoz:
Microsoft cikk az egyéni jelszószűrő könyvtárról: Jelszószűrők
PassFiltEx: PassFiltEx
Kiadási link: Legutolsó kiadás
Jelszavas listák:
DanielMiessler felsorolja: Link.
A gyengepass.com szólista: Link.
Szólista a berzerk0 repoból: Link.
Microsoft Message Analyzer: Microsoft Message Analyzer.