Az ember, mint tudod, lusta lény.
És még inkább, ha erős jelszó választásáról van szó.
Szerintem minden rendszergazda szembesült már a könnyű és szabványos jelszavak használatának problémájával. Ez a jelenség gyakran előfordul a vállalatvezetés felső szintjén. Igen, igen, pontosan azok körében, akik titkos vagy kereskedelmi információkhoz férnek hozzá, és rendkívül nem kívánatos lenne a jelszókiszivárogtatás/hackelés és a további incidensek következményeit kiküszöbölni.
Gyakorlatomban előfordult, hogy egy Active Directory tartományban, ahol engedélyezett a jelszóházirend, a könyvelők önállóan arra az ötletre jutottak, hogy a „Pas$w0rd1234”-hez hasonló jelszó tökéletesen megfelel a házirend követelményeinek. Ennek a jelszónak a mindenhol elterjedt használata volt a következménye. Néha csak a számkészletében különbözött.
Nagyon szerettem volna, ha nem csak jelszóházirendet engedélyezhetek és karakterkészletet definiálhatok, hanem szótár szerint is szűrhetek. Az ilyen jelszavak használatának lehetőségének kizárása.
A Microsoft a linken keresztül tájékoztat minket, hogy aki tudja, hogyan kell helyesen a kezében tartani egy fordítót, IDE-t, és tudja, hogyan kell helyesen kiejteni a C++-t, az képes a számára szükséges könyvtárat összeállítani és saját értelmezése szerint használni. Szerény szolgád erre nem képes, ezért kész megoldást kellett keresnem.
Hosszú óra keresgélés után a probléma megoldására két lehetőség tárult fel. Természetesen az OpenSource megoldásról beszélek. Végül is vannak fizetős lehetőségek - az elejétől a végéig.
1. számú lehetőség.
Kb. 2 éve nincs commit, a natív telepítő időnként működik, manuálisan kell javítani. Saját külön szolgáltatást hoz létre. Jelszófájl frissítésekor a DLL nem veszi fel automatikusan a megváltozott tartalmat, le kell állítani a szolgáltatást, várni kell egy időtúllépést, módosítani kell a fájlt, és el kell indítani a szolgáltatást.
Nincs jég!
2. számú lehetőség.
A projekt aktív, él, és még a hideg testet sem kell rúgni.
A szűrő telepítése két fájl másolásával és több beállításjegyzék-bejegyzés létrehozásával jár. A jelszófájl nincs zárban, azaz szerkeszthető, és a projekt szerzőjének elképzelése szerint percenként egyszer csak elolvasásra kerül. Ezenkívül további beállításjegyzék-bejegyzések használatával tovább konfigurálhatja magát a szűrőt és még a jelszóházirend árnyalatait is.
Így.
Adott: Active Directory tartomány test.local
Windows 8.1 tesztmunkaállomás (nem fontos a probléma szempontjából)
jelszószűrő PassFiltEx
- Töltse le a legújabb kiadást a linkről
- Másolat PassFiltEx.dll в C: WindowsSystem32 (vagy %SystemRoot%System32).
Másolat PassFiltExBlacklist.txt в C: WindowsSystem32 (vagy %SystemRoot%System32). Szükség esetén saját sablonokkal kiegészítjük
- A rendszerleíró ág szerkesztése: HKLMSYSTEMCurrentControlSetControlLsa => Értesítési csomagok
hozzáadása PassFiltEx a lista végére. (A kiterjesztést nem kell megadni.) A szkenneléshez használt csomagok teljes listája így fog kinézni:rassfm scecli PassFiltEx”.
- Indítsa újra a tartományvezérlőt.
- A fenti eljárást minden tartományvezérlőre megismételjük.
A következő beállításjegyzék-bejegyzéseket is hozzáadhatja, ami nagyobb rugalmasságot biztosít a szűrő használatában:
Fejezet: HKLMSOFTWAREPassFiltEx — automatikusan létrejön.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Alapértelmezés: PassFiltExBlacklist.txt
BlacklistFileName — lehetővé teszi egy fájl egyéni elérési útjának megadását jelszósablonokkal. Ha ez a bejegyzés üres vagy nem létezik, akkor az alapértelmezett elérési út kerül felhasználásra, amely a - %SystemRoot%System32. Akár hálózati elérési utat is megadhat, DE emlékeznie kell arra, hogy a sablonfájlnak egyértelmű olvasási, írási, törlési, módosítási jogosultságokkal kell rendelkeznie.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Alapértelmezett: 60
TokenPercentageOfPassword — lehetővé teszi a maszk százalékos arányának megadását az új jelszóban. Az alapértelmezett érték 60%. Például, ha az előfordulási százalék 60, és a starwars karakterlánc szerepel a sablonfájlban, akkor a jelszó Starwars1! a jelszó visszautasításra kerül starwars1!DarthVader88 elfogadja, mert a karakterlánc százaléka a jelszóban kevesebb, mint 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Alapértelmezett: 0
RequireCharClasses — lehetővé teszi a jelszókövetelmények kiterjesztését az ActiveDirectory szabványos jelszó-összetettségi követelményeihez képest. A beépített összetettségi követelmények az 3 különböző karakter közül 5-at igényelnek: nagybetűk, kisbetűk, számjegyek, speciális és Unicode. Ezzel a beállításjegyzék-bejegyzéssel beállíthatja a jelszó összetettségi követelményeit. A megadható érték bitek halmaza, amelyek mindegyike kettőnek megfelelő hatványa.
Vagyis 1 = kisbetű, 2 = nagybetű, 4 = számjegy, 8 = speciális karakter és 16 = Unicode karakter.
Tehát 7-es érték esetén a követelmény „nagybetű” lenne ÉS kisbetűvel ÉS számjegy”, és 31 értékkel - „Nagybetű ÉS kisbetűs ÉS ábra ÉS különleges szimbólum ÉS Unicode karakter."
Akár kombinálhatja is - 19 = „Nagybetű ÉS kisbetűs ÉS Unicode karakter." -
Számos szabály a sablonfájl létrehozásakor:
- A sablonok nem különböznek egymástól. Ezért a fájl bejegyzés csillagok háborúja и Csillagok háborúja azonos értékre lesz meghatározva.
- A feketelista fájl 60 másodpercenként újraolvasásra kerül, így könnyen szerkeszthető, egy perc múlva az új adatokat használja a szűrő.
- Jelenleg nincs Unicode támogatás a mintaillesztéshez. Vagyis használhat Unicode karaktereket a jelszavakban, de a szűrő nem fog működni. Ez nem kritikus, mert nem láttam Unicode jelszavakat használó felhasználókat.
- Célszerű nem engedélyezni az üres sorokat a sablonfájlban. A hibakeresésben ezután hiba jelenik meg az adatok fájlból való betöltésekor. A szűrő működik, de minek az extra kivételek?
A hibakereséshez az archívum kötegfájlokat tartalmaz, amelyek lehetővé teszik napló létrehozását, majd elemzését például
Ez a jelszószűrő az Event Tracing for Windows szolgáltatást használja.
Ennek a jelszószűrőnek az ETW-szolgáltatója 07d83223-7594-4852-babc-784803fdf6c5. Így például beállíthatja az eseménykövetést a következő újraindítás után:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
A nyomkövetés a rendszer következő újraindítása után indul el. Megállni:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Mindezek a parancsok a szkriptekben vannak megadva StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
A szűrő működésének egyszeri ellenőrzéséhez használhatja StartTracing.cmd и StopTracing.cmd.
Annak érdekében, hogy kényelmesen beolvassa ennek a szűrőnek a hibakeresési kimenetét Microsoft Message Analyzer A következő beállítások használata javasolt:
A bejelentkezés és az elemzés leállításakor Microsoft Message Analyzer minden valahogy így néz ki:
Itt látható, hogy a felhasználó jelszavát próbálták beállítani – erről árulkodik a varázsszó SET hibakeresésben. A jelszót pedig a sablonfájlban való jelenléte és a beírt szövegben több mint 30%-os egyezés miatt elutasították.
Ha sikeres jelszómódosítási kísérlet történik, a következőket látjuk:
Van némi kellemetlenség a végfelhasználó számára. Amikor megpróbál módosítani egy, a sablonok listájában szereplő jelszót, a képernyőn megjelenő üzenet nem különbözik a szabványos üzenettől, ha a jelszóházirend nem került átadásra.
Ezért készüljön fel hívásokra és kiáltásokra: „Helyesen adtam meg a jelszót, de nem működik.”
Összegzés.
Ez a könyvtár lehetővé teszi az egyszerű vagy szabványos jelszavak használatának tiltását az Active Directory tartományban. Mondjuk: "Nem!" jelszavak, például: „P@ssw0rd”, „Qwerty123”, „ADm1n098”.
Igen, természetesen a felhasználók még jobban szeretni fogják Önt, amiért ennyire gondoskodik a biztonságukról, és észbontó jelszavakat kell kitalálnia. És talán növekedni fog a jelszóval kapcsolatos hívások és segítségkérések száma. De a biztonságnak ára van.
Linkek a felhasznált forrásokhoz:
Microsoft cikk az egyéni jelszószűrő könyvtárról:
PassFiltEx:
Kiadási link:
Jelszavas listák:
DanielMiessler felsorolja:
A gyengepass.com szólista:
Szólista a berzerk0 repoból:
Microsoft Message Analyzer:
Forrás: will.com