Maðurinn er, eins og þú veist, latur skepna.
Og enn frekar þegar kemur að því að velja sterkt lykilorð.
Ég held að sérhver stjórnandi hafi alltaf staðið frammi fyrir því vandamáli að nota létt og staðlað lykilorð. Þetta fyrirbæri á sér oft stað meðal æðstu stjórnenda fyrirtækja. Já, já, einmitt meðal þeirra sem hafa aðgang að leynilegum eða viðskiptalegum upplýsingum og það væri afar óæskilegt að útrýma afleiðingum lykilorðaleka/hakka og frekari atvika.
Í starfi mínu var tilfelli þegar á Active Directory léni með lykilorðastefnu virka komu endurskoðendur sjálfstætt að þeirri hugmynd að lykilorð eins og „Pas$w0rd1234“ passaði fullkomlega við stefnukröfurnar. Afleiðingin var víðtæk notkun þessa lykilorðs alls staðar. Stundum var hann aðeins frábrugðinn tölum.
Ég vildi virkilega geta ekki aðeins virkjað lykilorðastefnu og skilgreint stafasett, heldur einnig að sía eftir orðabók. Til að útiloka möguleikann á að nota slík lykilorð.
Microsoft tilkynnir okkur vinsamlega í gegnum hlekkinn að allir sem kunna að halda þýðanda, IDE rétt í höndunum og vita hvernig á að bera fram C++ rétt, geti sett saman bókasafnið sem þeir þurfa og notað það samkvæmt eigin skilningi. Hógvær þjónn þinn er ekki fær um þetta, svo ég varð að leita að tilbúinni lausn.
Eftir langa klukkutíma leit komu tveir möguleikar í ljós til að leysa vandamálið. Ég er auðvitað að tala um OpenSource lausnina. Eftir allt saman, það eru greiddir valkostir - frá upphafi til enda.
Valkostur númer 1.
Engar skuldbindingar hafa verið í um það bil 2 ár núna. Innfæddur uppsetningarforrit virkar öðru hvoru, þú verður að leiðrétta það handvirkt. Býr til sína eigin sérstaka þjónustu. Þegar lykilorðsskrá er uppfærð tekur DLL-skráin ekki sjálfkrafa upp breyttu efni; þú þarft að stöðva þjónustuna, bíða í tíma, breyta skránni og hefja þjónustuna.
Enginn ís!
Valkostur númer 2.
Verkefnið er virkt, lifandi og það er engin þörf á að sparka í kalda líkamann.
Uppsetning síunnar felur í sér að afrita tvær skrár og búa til nokkrar skrásetningarfærslur. Lykilorðsskráin er ekki í lás, það er að segja að hún er tiltæk til að breyta og samkvæmt hugmynd höfundar verkefnisins er hún einfaldlega lesin einu sinni á mínútu. Einnig, með því að nota fleiri skrásetningarfærslur, geturðu stillt frekar bæði síuna sjálfa og jafnvel blæbrigði lykilorðastefnunnar.
Svo.
Gefið: Active Directory lén test.local
Windows 8.1 prófunarvinnustöð (ekki mikilvægt fyrir tilgang vandamálsins)
lykilorðasía PassFiltEx
- Sæktu nýjustu útgáfuna af hlekknum
- Afrita PassFiltEx.dll в C: WindowsSystem32 (Eða %SystemRoot%System32).
Afrita PassFiltExBlacklist.txt в C: WindowsSystem32 (Eða %SystemRoot%System32). Ef nauðsyn krefur bætum við það með eigin sniðmátum
- Breyting á skráningargreininni: HKLMSYSTEM CurrentControlSetControlLsa => Tilkynningarpakkar
Bæta við PassFiltEx til enda listans. (Ekki þarf að tilgreina viðbótina.) Heildarlisti yfir pakka sem notaðir eru til að skanna mun líta svona út “rassfm scecli PassFiltEx".
- Endurræstu lénsstýringuna.
- Við endurtökum ofangreinda aðferð fyrir alla lénsstýringar.
Þú getur líka bætt við eftirfarandi skrásetningarfærslum, sem gefur þér meiri sveigjanleika í notkun þessarar síu:
kafli: HKLMSOFTWAREPassFiltEx — er búið til sjálfkrafa.
- HKLMSOFTWAREPassFiltExBlacklist FileName, REG_SZ, Sjálfgefið: PassFiltExBlacklist.txt
Blacklist FileName — gerir þér kleift að tilgreina sérsniðna slóð að skrá með lykilorðssniðmátum. Ef þessi skrásetningarfærsla er tóm eða er ekki til, þá er sjálfgefin slóð notuð, sem er - %SystemRoot%System32. Þú getur jafnvel tilgreint netslóð, EN þú þarft að muna að sniðmátsskráin verður að hafa skýrar heimildir til að lesa, skrifa, eyða, breyta.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, sjálfgefið: 60
TokenPercentageOfPassword — gerir þér kleift að tilgreina hlutfall grímunnar í nýja lykilorðinu. Sjálfgefið gildi er 60%. Til dæmis, ef hlutfallshlutfallið er 60 og strengurinn starwars er í sniðmátsskránni, þá er lykilorðið Starwars1! verður hafnað á meðan lykilorðið starwars1!DarthVader88 verður samþykkt vegna þess að hlutfall strengsins í lykilorðinu er minna en 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, sjálfgefið: 0
Krefjast CharClasses — gerir þér kleift að auka lykilorðakröfurnar samanborið við staðlaða ActiveDirectory lykilorðakröfurnar. Innbyggðu flóknar kröfurnar krefjast 3 af 5 mögulegum mismunandi tegundum stafa: hástafi, lágstafi, tölustafi, sérstakur og Unicode. Með því að nota þessa skrásetningarfærslu geturðu stillt kröfur um flókið lykilorð. Gildið sem hægt er að tilgreina er sett af bitum, sem hver um sig er samsvarandi máttur tveggja.
Það er, 1 = lágstafir, 2 = hástafir, 4 = tölustafir, 8 = sérstafir og 16 = Unicode stafur.
Þannig að með gildið 7 yrðu kröfurnar „hástafir“ OG lágstafir OG tölustafur", og með gildið 31 - "Hástafir OG lágstafir OG tölu OG sérstakt tákn OG Unicode staf."
Þú getur jafnvel sameinað - 19 = „Höfuðstafir OG lágstafir OG Unicode staf." -
Nokkrar reglur þegar búið er til sniðmátsskrá:
- Sniðmát er ónæmir fyrir hástöfum. Því skráarfærslan Stjörnustríð и Stjörnustríð verður ákveðið að vera sama gildi.
- Svartalistaskráin er endurlesin á 60 sekúndna fresti, svo þú getur auðveldlega breytt henni; eftir eina mínútu verða nýju gögnin notuð af síunni.
- Sem stendur er enginn Unicode stuðningur fyrir mynstursamsvörun. Það er, þú getur notað Unicode stafi í lykilorðum, en sían virkar ekki. Þetta er ekki mikilvægt vegna þess að ég hef ekki séð notendur sem nota Unicode lykilorð.
- Það er ráðlegt að leyfa ekki tómar línur í sniðmátsskránni. Í kembiforritinu geturðu síðan séð villu þegar gögn eru hlaðin úr skrá. Sían virkar, en hvers vegna auka undantekningarnar?
Fyrir villuleit inniheldur skjalasafnið runuskrár sem gera þér kleift að búa til annál og flokka hann síðan með því að nota til dæmis,
Þessi lykilorðasía notar atburðarrakningu fyrir Windows.
ETW-veitan fyrir þessa lykilorðasíu er 07d83223-7594-4852-babc-784803fdf6c5. Svo, til dæmis, þú getur stillt atburðarrakningu eftir eftirfarandi endurræsingu:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Rekja mun hefjast eftir næstu endurræsingu kerfisins. Að hætta:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Allar þessar skipanir eru tilgreindar í skriftunum StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Fyrir einu sinni athugun á síuaðgerðinni geturðu notað StartTracing.cmd и StopTracing.cmd.
Til að geta lesið kembiútblástur þessarar síu á þægilegan hátt inn Microsoft Message Analyzer Mælt er með því að nota eftirfarandi stillingar:
Þegar þú hættir að skrá þig inn og þátta inn Microsoft Message Analyzer allt lítur svona út:
Hér má sjá að reynt var að setja lykilorð fyrir notandann - töfraorðið segir okkur þetta SET í villuleit. Og lykilorðinu var hafnað vegna tilvistar þess í sniðmátsskránni og meira en 30% passa í textanum sem var sleginn inn.
Ef árangursrík tilraun til að breyta lykilorði er gerð sjáum við eftirfarandi:
Það eru nokkur óþægindi fyrir endanotandann. Þegar þú reynir að breyta lykilorði sem er innifalið í lista yfir sniðmátsskrána eru skilaboðin á skjánum ekkert frábrugðin venjulegu skilaboðunum þegar lykilorðastefnan er ekki samþykkt.
Vertu því viðbúinn símtölum og hrópum: „Ég sló inn lykilorðið rétt, en það virkar ekki.“
Samantekt.
Þetta bókasafn gerir þér kleift að banna notkun á einföldum eða stöðluðum lykilorðum á Active Directory léni. Segjum "Nei!" lykilorð eins og: "P@ssw0rd", "Qwerty123", "ADm1n098".
Já, auðvitað munu notendur elska þig enn meira fyrir að gæta svo vel að öryggi þeirra og þörfinni á að koma með hugarfarsleg lykilorð. Og ef til vill mun fjöldi símtala og beiðna um hjálp með lykilorðið þitt aukast. En öryggi kostar sitt.
Tenglar á tilföng sem notuð eru:
Microsoft grein um sérsniðið lykilorðasíusafn:
PassFiltEx:
Útgáfutengill:
Lykilorðalistar:
DanielMiessler listar:
Orðalisti frá weakpass.com:
Orðalisti frá berzerk0 repo:
Microsoft Message Analyzer:
Heimild: www.habr.com