Manusia, seperti yang Anda tahu, adalah makhluk yang malas.
Terlebih lagi ketika harus memilih kata sandi yang kuat.
Saya rasa setiap administrator pernah menghadapi masalah penggunaan kata sandi yang ringan dan standar. Fenomena ini sering terjadi di kalangan eselon atas manajemen perusahaan. Ya, ya, tepatnya di antara mereka yang memiliki akses terhadap informasi rahasia atau komersial dan akan sangat tidak diinginkan untuk menghilangkan konsekuensi dari kebocoran/peretasan kata sandi dan insiden lebih lanjut.
Dalam praktik saya, ada kasus ketika, dalam domain Direktori Aktif dengan kebijakan kata sandi diaktifkan, akuntan secara mandiri sampai pada gagasan bahwa kata sandi seperti “Pas$w0rd1234” sangat sesuai dengan persyaratan kebijakan. Konsekuensinya adalah meluasnya penggunaan password ini dimana-mana. Terkadang dia hanya berbeda dalam jumlah angkanya.
Saya benar-benar ingin tidak hanya mengaktifkan kebijakan kata sandi dan menentukan kumpulan karakter, tetapi juga memfilter berdasarkan kamus. Untuk mengecualikan kemungkinan penggunaan kata sandi tersebut.
Microsoft dengan baik hati memberi tahu kami melalui tautan bahwa siapa pun yang mengetahui cara memegang kompiler, IDE dengan benar di tangan mereka dan mengetahui cara mengucapkan C++ dengan benar, dapat mengkompilasi perpustakaan yang mereka perlukan dan menggunakannya sesuai dengan pemahaman mereka sendiri. Hamba Anda yang rendah hati tidak mampu melakukan ini, jadi saya harus mencari solusi yang sudah jadi.
Setelah berjam-jam mencari, dua opsi untuk memecahkan masalah tersebut terungkap. Saya, tentu saja, berbicara tentang solusi OpenSource. Lagi pula, ada opsi berbayar - dari awal hingga akhir.
Opsi nomor 1.
Tidak ada komitmen selama sekitar 2 tahun sekarang. Pemasang asli kadang-kadang berfungsi, Anda harus memperbaikinya secara manual. Membuat layanan terpisahnya sendiri. Saat memperbarui file kata sandi, DLL tidak secara otomatis mengambil konten yang diubah; Anda harus menghentikan layanan, menunggu waktu habis, mengedit file, dan memulai layanan.
Tanpa es!
Opsi nomor 2.
Proyek ini aktif, hidup dan bahkan tidak perlu menendang tubuh yang dingin.
Memasang filter melibatkan penyalinan dua file dan membuat beberapa entri registri. File kata sandi tidak dikunci, yaitu tersedia untuk diedit dan, menurut ide penulis proyek, hanya dibaca satu menit sekali. Selain itu, dengan menggunakan entri registri tambahan, Anda dapat mengonfigurasi lebih lanjut filter itu sendiri dan bahkan nuansa kebijakan kata sandi.
Jadi.
Diberikan: Tes domain Direktori Aktif.lokal
Stasiun kerja pengujian Windows 8.1 (tidak penting untuk tujuan masalahnya)
filter kata sandi PassFiltEx
- Unduh rilis terbaru dari tautan
- Menyalin PassFiltEx.dll в C: WindowsSystem32 (Atau %SystemRoot%System32).
Menyalin PassFiltExBlacklist.txt в C: WindowsSystem32 (Atau %SystemRoot%System32). Jika perlu, kami melengkapinya dengan template kami sendiri
- Mengedit cabang registri: HKLMSYSTEMCurrentControlSetControlLsa => Paket Pemberitahuan
Menambahkan LulusFiltEx ke akhir daftar. (Ekstensi tidak perlu ditentukan.) Daftar lengkap paket yang digunakan untuk pemindaian akan terlihat seperti ini “rassfm scecli PassFiltEx".
- Nyalakan ulang pengontrol domain.
- Kami mengulangi prosedur di atas untuk semua pengontrol domain.
Anda juga dapat menambahkan entri registri berikut, yang memberi Anda lebih banyak fleksibilitas dalam menggunakan filter ini:
Bagian: HKLMSOFTWAREPassFiltEx — dibuat secara otomatis.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Bawaan: PassFiltExBlacklist.txt
Nama File Daftar Hitam — memungkinkan Anda menentukan jalur khusus ke file dengan templat kata sandi. Jika entri registri ini kosong atau tidak ada, maka jalur default digunakan, yaitu - %SystemRoot%System32. Anda bahkan dapat menentukan jalur jaringan, TETAPI Anda harus ingat bahwa file templat harus memiliki izin yang jelas untuk membaca, menulis, menghapus, mengubah.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Bawaan: 60
TokenPercentageOfPassword — memungkinkan Anda menentukan persentase topeng dalam kata sandi baru. Nilai defaultnya adalah 60%. Misalnya, jika persentase kemunculannya adalah 60 dan string starwars ada di file template, maka kata sandinya Perang Bintang1! akan ditolak sementara kata sandinya starwars1!DarthVader88 akan diterima karena persentase string pada kata sandi kurang dari 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Bawaan: 0
MemerlukanCharClasses — memungkinkan Anda memperluas persyaratan kata sandi dibandingkan dengan persyaratan kompleksitas kata sandi ActiveDirectory standar. Persyaratan kompleksitas bawaan memerlukan 3 dari 5 kemungkinan jenis karakter berbeda: Huruf Besar, Huruf Kecil, Digit, Khusus, dan Unicode. Dengan menggunakan entri registri ini, Anda dapat mengatur persyaratan kompleksitas kata sandi Anda. Nilai yang dapat ditentukan adalah sekumpulan bit, yang masing-masing merupakan pangkat dua yang sesuai.
Artinya, 1 = huruf kecil, 2 = huruf besar, 4 = angka, 8 = karakter khusus, dan 16 = karakter Unicode.
Jadi dengan nilai 7 persyaratannya adalah “Huruf Besar” DAN huruf kecil DAN digit”, dan dengan nilai 31 - “Huruf besar DAN huruf kecil DAN digit DAN simbol khusus DAN Karakter unicode."
Anda bahkan dapat menggabungkan - 19 = “Huruf besar DAN huruf kecil DAN Karakter unicode." -
Sejumlah aturan saat membuat file template:
- Templat tidak peka huruf besar-kecil. Oleh karena itu, entri file starwars и Perang Bintang akan ditentukan nilainya sama.
- File daftar hitam dibaca ulang setiap 60 detik, sehingga Anda dapat mengeditnya dengan mudah; setelah satu menit, data baru akan digunakan oleh filter.
- Saat ini tidak ada dukungan Unicode untuk pencocokan pola. Artinya, Anda dapat menggunakan karakter Unicode dalam kata sandi, tetapi filternya tidak akan berfungsi. Ini tidak penting, karena saya belum melihat pengguna yang menggunakan kata sandi Unicode.
- Dianjurkan untuk tidak mengizinkan baris kosong di file template. Dalam debug Anda kemudian dapat melihat kesalahan saat memuat data dari suatu file. Filternya berfungsi, tetapi mengapa ada pengecualian tambahan?
Untuk debugging, arsip berisi file batch yang memungkinkan Anda membuat log dan kemudian menguraikannya menggunakan, misalnya,
Filter kata sandi ini menggunakan Pelacakan Peristiwa untuk Windows.
Penyedia ETW untuk filter kata sandi ini adalah 07d83223-7594-4852-babc-784803fdf6c5. Jadi, misalnya, Anda dapat mengonfigurasi pelacakan peristiwa setelah reboot berikut:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Pelacakan akan dimulai setelah reboot sistem berikutnya. Untuk berhenti:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Semua perintah ini ditentukan dalam skrip MulaiTracingAtBoot.cmd и HentikanTracingAtBoot.cmd.
Untuk pemeriksaan satu kali pengoperasian filter, Anda dapat menggunakan MulaiTracing.cmd и Hentikan Pelacakan.cmd.
Agar mudah membaca knalpot debug filter ini Microsoft Message Analyzer Disarankan untuk menggunakan pengaturan berikut:
Saat berhenti masuk dan menguraikan Microsoft Message Analyzer semuanya terlihat seperti ini:
Di sini Anda dapat melihat bahwa ada upaya untuk menetapkan kata sandi untuk pengguna - kata ajaib memberi tahu kita hal ini SET dalam debug. Dan kata sandi ditolak karena kehadirannya di file template dan lebih dari 30% cocok dengan teks yang dimasukkan.
Jika upaya perubahan kata sandi berhasil dilakukan, kita akan melihat hal berikut:
Ada beberapa ketidaknyamanan bagi pengguna akhir. Saat Anda mencoba mengubah kata sandi yang disertakan dalam daftar file templat, pesan di layar tidak berbeda dengan pesan standar ketika kebijakan kata sandi tidak diteruskan.
Oleh karena itu, bersiaplah untuk panggilan dan teriakan: "Saya memasukkan kata sandi dengan benar, tetapi tidak berhasil."
Ringkasan.
Pustaka ini memungkinkan Anda untuk melarang penggunaan kata sandi sederhana atau standar di domain Direktori Aktif. Katakanlah "Tidak!" kata sandi seperti: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Ya, tentu saja, pengguna akan semakin menyukai Anda karena Anda sangat menjaga keamanan mereka dan kebutuhan untuk membuat kata sandi yang menakjubkan. Dan, mungkin, jumlah panggilan dan permintaan bantuan mengenai kata sandi Anda akan meningkat. Namun keamanan ada harganya.
Tautan ke sumber daya yang digunakan:
Artikel Microsoft mengenai perpustakaan filter kata sandi khusus:
LulusFiltEx:
Tautan rilis:
Daftar kata sandi:
Daftar DanielMiessler:
Daftar kata dari lemahpass.com:
Daftar kata dari repo berzerk0:
Penganalisis Pesan Microsoft:
Sumber: www.habr.com