Ինչպես արգելել ստանդարտ գաղտնաբառերը և ստիպել բոլորին ատել ձեզ
Մարդը, ինչպես գիտեք, ծույլ արարած է։
Եվ նույնիսկ ավելին, երբ խոսքը վերաբերում է ուժեղ գաղտնաբառի ընտրությանը:
Կարծում եմ, որ յուրաքանչյուր ադմինիստրատոր երբևէ բախվել է թեթև և ստանդարտ գաղտնաբառեր օգտագործելու խնդրին: Այս երեւույթը հաճախ հանդիպում է ընկերության կառավարման վերին օղակներում։ Այո, այո, հենց նրանց թվում, ովքեր հասանելի են գաղտնի կամ առևտրային տեղեկատվությանը, և չափազանց անցանկալի կլիներ վերացնել գաղտնաբառի արտահոսքի/հաքերի և հետագա միջադեպերի հետևանքները:
Իմ պրակտիկայում եղել է դեպք, երբ Active Directory տիրույթում, որի գաղտնաբառի քաղաքականությունը միացված է, հաշվապահներն ինքնուրույն եկան այն մտքին, որ «Pas$w0rd1234»-ի նման գաղտնաբառը լիովին համապատասխանում է քաղաքականության պահանջներին: Հետևանքը այս գաղտնաբառի լայն տարածումն էր ամենուր։ Երբեմն նա տարբերվում էր միայն իր թվերով։
Ես իսկապես ուզում էի ոչ միայն միացնել գաղտնաբառի քաղաքականությունը և սահմանել նիշերի հավաքածու, այլև զտել ըստ բառարանի: Նման գաղտնաբառերի օգտագործման հնարավորությունը բացառելու համար։
Microsoft-ը սիրով տեղեկացնում է մեզ հղումով, որ յուրաքանչյուր ոք, ով գիտի, թե ինչպես ճիշտ պահել կոմպիլյատորը, IDE-ն իր ձեռքում և գիտի, թե ինչպես ճիշտ արտասանել C++-ը, կարող է կազմել իրեն անհրաժեշտ գրադարանը և օգտագործել այն՝ ըստ իրենց հասկացողության։ Ձեր խոնարհ ծառան ունակ չէ դրան, ուստի ես ստիպված էի պատրաստի լուծում փնտրել։
Երկար ժամ փնտրտուքներից հետո խնդրի լուծման երկու տարբերակ բացահայտվեց. Խոսքս, իհարկե, OpenSource լուծման մասին է։ Ի վերջո, կան վճարովի տարբերակներ՝ սկզբից մինչև վերջ:
Մոտ 2 տարի է, ինչ պարտավորություններ չկան, բնիկ տեղադրողն աշխատում է մեկ-մեկ, դուք պետք է այն շտկեք ձեռքով: Ստեղծում է իր առանձին ծառայությունը: Գաղտնաբառի ֆայլը թարմացնելիս DLL-ն ավտոմատ կերպով չի վերցնում փոխված բովանդակությունը, դուք պետք է դադարեցնեք ծառայությունը, սպասեք ժամանակի ավարտին, խմբագրեք ֆայլը և գործարկեք ծառայությունը:
Նախագիծը ակտիվ է, կենդանի և կարիք չկա նույնիսկ ոտքով հարվածել սառը մարմնին։
Ֆիլտրի տեղադրումը ներառում է երկու ֆայլի պատճենում և ռեեստրի մի քանի գրառումների ստեղծում: Գաղտնաբառի ֆայլը կողպեքի մեջ չէ, այսինքն՝ հասանելի է խմբագրման համար և, ըստ նախագծի հեղինակի մտահղացման, այն պարզապես կարդացվում է րոպեն մեկ անգամ։ Բացի այդ, օգտագործելով ռեեստրի լրացուցիչ գրառումները, դուք կարող եք հետագայում կարգավորել ինչպես ֆիլտրը, այնպես էլ նույնիսկ գաղտնաբառի քաղաքականության նրբությունները:
So.
Տրված է՝ Active Directory տիրույթի test.local
Windows 8.1-ի թեստային կայան (խնդիրի համար՝ անկարևոր)
գաղտնաբառի զտիչ PassFiltEx
Պատճենել PassFiltEx.dll в C: WindowsSystem32 (Կամ %SystemRoot%System32).
Պատճենել PassFiltExBlacklist.txt в C: WindowsSystem32 (Կամ %SystemRoot%System32) Անհրաժեշտության դեպքում այն լրացնում ենք մեր սեփական կաղապարներով
Ռեեստրի մասնաճյուղի խմբագրում. HKLMSYSTEMCcurrentControlSetControlLsa => Ծանուցումների փաթեթներ
Ավելացում PassFiltEx մինչև ցուցակի վերջ: (Ընդլայնումը նշելու կարիք չկա:) Սկանավորման համար օգտագործվող փաթեթների ամբողջական ցանկը նման կլինի «rassfm scecli PassFiltEx»:
Վերագործարկեք տիրույթի վերահսկիչը:
Մենք կրկնում ենք վերը նշված ընթացակարգը բոլոր տիրույթի վերահսկիչների համար:
Կարող եք նաև ավելացնել ռեեստրի հետևյալ գրառումները, որոնք ձեզ ավելի ճկունություն են տալիս այս զտիչն օգտագործելու հարցում.
Գլուխ: HKLMSSOFTWAREPassFiltEx — ստեղծվում է ավտոմատ կերպով:
BlacklistFileName — թույլ է տալիս գաղտնաբառի ձևանմուշներով ֆայլի հատուկ ուղի նշել: Եթե ռեեստրի այս մուտքը դատարկ է կամ գոյություն չունի, ապա օգտագործվում է լռելյայն ուղին, որը. %SystemRoot%System32. Դուք նույնիսկ կարող եք նշել ցանցի ուղին, ԲԱՅՑ պետք է հիշել, որ կաղապարի ֆայլը պետք է ունենա հստակ թույլտվություններ կարդալու, գրելու, ջնջելու, փոփոխելու համար:
TokenPercentageOfPassword-ը — թույլ է տալիս նոր գաղտնաբառում նշել դիմակի տոկոսը: Նախնական արժեքը 60% է: Օրինակ, եթե տոկոսը 60 է, իսկ string starwars-ը կաղապարի ֆայլում է, ապա գաղտնաբառը Starwars1! կմերժվի, մինչդեռ գաղտնաբառը starwars1!DarthVader88 կընդունվի, քանի որ գաղտնաբառում տողի տոկոսը 60%-ից պակաս է
RequireCharClasses — թույլ է տալիս ընդլայնել գաղտնաբառի պահանջները՝ համեմատած ստանդարտ ActiveDirectory գաղտնաբառի բարդության պահանջների հետ: Ներկառուցված բարդության պահանջները պահանջում են 3 հնարավոր տարբեր տեսակի նիշերից 5-ը՝ մեծատառ, փոքրատառ, թվանշան, հատուկ և յունիկոդ: Օգտագործելով ռեեստրի այս մուտքը, կարող եք սահմանել ձեր գաղտնաբառի բարդության պահանջները: Արժեքը, որը կարելի է նշել, բիթերի մի շարք է, որոնցից յուրաքանչյուրը երկուսի համապատասխան հզորություն է:
Այսինքն՝ 1 = փոքրատառ, 2 = մեծատառ, 4 = թվանշան, 8 = հատուկ նիշ և 16 = Յունիկոդ նիշ:
Այսպիսով, 7 արժեքով պահանջները կլինեն «մեծատառ» ԵՎ փոքրատառ ԵՎ թվանշան», իսկ 31 արժեքով՝ «Մեծատառ ԵՎ փոքրատառ ԵՎ նիշը ԵՎ հատուկ խորհրդանիշ ԵՎ Յունիկոդի կերպար»։
Դուք նույնիսկ կարող եք համատեղել - 19 = «Մեծատառ ԵՎ փոքրատառ ԵՎ Յունիկոդի կերպար»։
Կաղապարի ֆայլ ստեղծելիս մի շարք կանոններ.
Կաղապարները մեծատառերի զգայուն չեն: Հետեւաբար, ֆայլի մուտքագրումը աստղային պատերազմներ и Աստղային պատերազմներ կորոշվի նույն արժեքը:
Սև ցուցակի ֆայլը վերընթերցվում է յուրաքանչյուր 60 վայրկյանը մեկ, այնպես որ կարող եք հեշտությամբ խմբագրել այն, մեկ րոպե անց նոր տվյալները կօգտագործվեն զտիչի կողմից:
Ներկայում չկա Unicode-ի աջակցություն նախշերի համապատասխանության համար: Այսինքն, դուք կարող եք օգտագործել Unicode նիշերը գաղտնաբառերում, բայց ֆիլտրը չի աշխատի: Սա կարևոր չէ, քանի որ ես չեմ տեսել օգտատերերի, ովքեր օգտագործում են Unicode գաղտնաբառերը:
Ցանկալի է կաղապարի ֆայլում դատարկ տողեր թույլ չտալ։ Վրիպազերծման ժամանակ դուք կարող եք այնուհետև տեսնել սխալ ֆայլից տվյալները բեռնելիս: Զտիչն աշխատում է, բայց ինչու՞ են լրացուցիչ բացառություններ:
Վրիպազերծման համար արխիվը պարունակում է խմբաքանակային ֆայլեր, որոնք թույլ են տալիս ստեղծել գրանցամատյան և այնուհետև վերլուծել այն՝ օգտագործելով, օրինակ. Microsoft հաղորդագրությունների վերլուծիչ:
Այս գաղտնաբառի զտիչը օգտագործում է իրադարձությունների հետագծում Windows-ի համար:
Այս գաղտնաբառի զտիչի ETW մատակարարն է 07d83223-7594-4852-babc-784803fdf6c5. Այսպիսով, օրինակ, կարող եք կարգավորել իրադարձությունների հետագծումը հետևյալ վերագործարկումից հետո. logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Հետագծումը կսկսվի համակարգի հաջորդ վերագործարկումից հետո: Կանգնել: logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Այս բոլոր հրամանները նշված են սկրիպտներում StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Ֆիլտրի գործողության միանգամյա ստուգման համար կարող եք օգտագործել StartTracing.cmd и StopTracing.cmd.
Այս ֆիլտրի վրիպազերծման արտանետումը հեշտությամբ կարդալու համար Microsoft հաղորդագրությունների վերլուծիչ Խորհուրդ է տրվում օգտագործել հետևյալ պարամետրերը.
Երբ դադարեցնում եք մուտքը և վերլուծությունը Microsoft հաղորդագրությունների վերլուծիչ ամեն ինչ կարծես այսպիսին է.
Այստեղ դուք կարող եք տեսնել, որ փորձ է արվել գաղտնաբառ սահմանել օգտատիրոջ համար. կախարդական բառը մեզ սա ասում է SET վրիպազերծման մեջ: Իսկ գաղտնաբառը մերժվել է կաղապարի ֆայլում առկայության և մուտքագրված տեքստի 30%-ից ավելի համապատասխանության պատճառով։
Եթե գաղտնաբառը փոխելու փորձը հաջող է, մենք տեսնում ենք հետևյալը.
Վերջնական օգտագործողի համար որոշակի անհարմարություններ կան: Երբ փորձում եք փոխել գաղտնաբառը, որն ընդգրկված է ձևանմուշների ֆայլի ցանկում, էկրանի հաղորդագրությունը չի տարբերվում ստանդարտ հաղորդագրությունից, երբ գաղտնաբառի քաղաքականությունը չի փոխանցվում:
Հետևաբար, պատրաստ եղեք զանգերի և բղավոցների. «Ես ճիշտ եմ մուտքագրել գաղտնաբառը, բայց այն չի աշխատում»:
Ընդհանուր:
Այս գրադարանը թույլ է տալիս արգելել պարզ կամ ստանդարտ գաղտնաբառերի օգտագործումը Active Directory տիրույթում: Եկեք ասենք «Ոչ»: գաղտնաբառեր, ինչպիսիք են՝ «P@ssw0rd», «Qwerty123», «ADm1n098»:
Այո, իհարկե, օգտատերերը ձեզ ավելի շատ կսիրեն իրենց անվտանգության մասին հոգ տանելու և խելամիտ գաղտնաբառեր ստեղծելու անհրաժեշտության համար: Եվ, հավանաբար, կավելանան զանգերի ու գաղտնաբառի հետ կապված օգնության խնդրանքների թիվը։ Բայց անվտանգությունն ունի գին: