Manungsa, kaya sing wis dingerteni, iku makhluk sing kesed.
Lan luwih-luwih nalika milih tembung sandhi sing kuwat.
Aku saben administrator wis tau ngadhepi masalah nggunakake cahya lan sandi standar. Fenomena iki asring dumadi ing antarane eselon ndhuwur manajemen perusahaan. Ya, ya, sabenere ing antarane wong-wong sing duwe akses menyang informasi rahasia utawa komersial lan bakal banget ora dikarepake kanggo ngilangi akibat saka bocor / hacking sandi lan kedadeyan liyane.
Ing praktikku, ana kasus nalika, ing domain Direktori Aktif kanthi kabijakan sandhi sing diaktifake, akuntan kanthi bebas nganggep manawa tembung sandhi kaya "Pas $ w0rd1234" cocog karo syarat kabijakan kanthi sampurna. Akibate yaiku nggunakake tembung sandhi iki ing endi wae. Kadhangkala dheweke mung beda-beda ing set nomer.
Aku pancene pengin bisa ora mung ngaktifake kabijakan sandi lan nemtokake pesawat karakter, nanging uga nyaring miturut kamus. Kanggo ngilangi kemungkinan nggunakake sandhi kasebut.
Microsoft kindly informs kita liwat link sing sapa ngerti carane nyekel compiler a, IDE bener ing tangan lan ngerti carane ngucapake C ++ bener, bisa kanggo ngumpulake perpustakaan padha perlu lan nggunakake miturut pangerten dhewe. Abdi Paduka ingkang andhap asor punika boten saged, mila kula kedah madosi solusi ingkang sampun siap.
Sawise sawetara jam nggoleki, rong pilihan kanggo ngrampungake masalah kasebut dicethakakΓ©. Aku, mesthi, ngomong babagan solusi OpenSource. Sawise kabeh, ana pilihan mbayar - saka wiwitan nganti rampung.
Pilihan nomer 1.
Ora ana komitmen kanggo udakara 2 taun saiki. Pemasang asli bisa digunakake saben-saben, sampeyan kudu mbenerake kanthi manual. Nggawe layanan kapisah dhewe. Nalika nganyari file sandhi, DLL ora kanthi otomatis njupuk konten sing diganti; sampeyan kudu mungkasi layanan kasebut, ngenteni wektu entek, ngowahi file kasebut, lan miwiti layanan kasebut.
Ora es!
Pilihan nomer 2.
Proyek kasebut aktif, urip lan ora perlu malah nyepak awak sing adhem.
Nginstal filter kalebu nyalin rong file lan nggawe sawetara entri pendaptaran. File sandhi ora ana ing kunci, yaiku, kasedhiya kanggo nyunting lan, miturut ide penulis proyek kasebut, diwaca sepisan saben menit. Uga, nggunakake entri pendaptaran tambahan, sampeyan bisa luwih ngatur loro Filter dhewe lan malah nuansa saka kabijakan sandi.
Nah, saiki.
Diwenehi: Active Directory domain test.local
Windows 8.1 test workstation (ora penting kanggo masalah)
saringan sandi PassFiltEx
- Download release paling anyar saka link
- Nyalin PassFiltEx.dll Π² C: WindowsSystem32 (utawa %SystemRoot%System32).
Nyalin PassFiltExBlacklist.txt Π² C: WindowsSystem32 (utawa %SystemRoot%System32). Yen perlu, kita nambah karo template kita dhewe
- Ngowahi cabang registri: HKLMSYSTEMCurrentControlSetControlLsa => Paket Notifikasi
Tambah PassFiltEx kanggo mburi dhaftar. (Ekstensi ora perlu ditemtokake.) Dhaptar lengkap paket sing digunakake kanggo mindhai bakal katon kaya iki "rassfm scecli PassFiltEx".
- Urip maneh pengontrol domain.
- Kita mbaleni prosedur ing ndhuwur kanggo kabeh pengontrol domain.
Sampeyan uga bisa nambah entri registri ing ngisor iki, sing menehi sampeyan luwih fleksibel nggunakake filter iki:
Bab: HKLMSOFTWAREPassFiltEx - digawe kanthi otomatis.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName - ngidini sampeyan nemtokake path khusus menyang file kanthi cithakan sandhi. Yen entri pendaptaran iki kosong utawa ora ana, banjur path standar digunakake, yaiku - %SystemRoot%System32. Sampeyan bisa malah nemtokake path jaringan, nanging sampeyan kudu ngelingi sing file Cithakan kudu ijin cetha kanggo maca, nulis, mbusak, ngganti.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword - ngijini sampeyan kanggo nemtokake persentasi saka topeng ing sandi anyar. Nilai standar yaiku 60%. Contone, yen persentase kedadeyan 60 lan string starwars ana ing file cithakan, banjur sandhi Starwars1! bakal ditolak nalika sandi starwars1!DarthVader88 bakal ditampa amarga persentase string ing sandi kurang saka 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
RequireCharClasses β ngidini sampeyan nggedhekake syarat sandhi dibandhingake karo syarat kerumitan tembung sandi ActiveDirectory standar. Syarat kerumitan sing dibangun mbutuhake 3 saka 5 macem-macem jinis karakter: Huruf Besar, Huruf Kecil, Digit, Khusus, lan Unicode. Nggunakake entri pendaptaran iki, sampeyan bisa nyetel syarat kerumitan sandi. Nilai sing bisa ditemtokake yaiku sakumpulan bit, sing saben-saben minangka daya sing cocog karo rong.
Yaiku - 1 = huruf cilik, 2 = huruf gedhe, 4 = digit, 8 = karakter khusus, lan 16 = karakter Unicode.
Dadi kanthi nilai 7 syarat kasebut yaiku "Upper Case" lan aksara cilik lan digit", lan kanthi nilai 31 - "Huruf gedhe lan cilik cilik lan digit lan simbol khusus lan karakter Unicode."
Sampeyan bisa uga gabungke - 19 = "Uppercase lan cilik cilik lan karakter Unicode." -
Sawetara aturan nalika nggawe file cithakan:
- Cithakan ora sensitif huruf cilik. Mulane, entri file star Wars ΠΈ StarWarS bakal ditemtokake dadi nilai sing padha.
- File dhaptar ireng diwaca maneh saben 60 detik, supaya sampeyan bisa ngowahi kanthi gampang; sawise sawetara menit, data anyar bakal digunakake dening panyaring.
- Saiki ora ana dhukungan Unicode kanggo pencocokan pola. Yaiku, sampeyan bisa nggunakake karakter Unicode ing sandhi, nanging panyaring ora bisa digunakake. Iki ora kritis, amarga aku durung weruh pangguna sing nggunakake sandhi Unicode.
- Disaranake ora ngidini garis kosong ing file cithakan. Ing debug sampeyan banjur bisa ndeleng kesalahan nalika ngemot data saka file. Filter kasebut bisa digunakake, nanging kenapa pengecualian ekstra?
Kanggo debugging, arsip ngemot file kumpulan sing ngidini sampeyan nggawe log banjur ngurai nggunakake, contone,
Filter sandhi iki nggunakake Tracing Acara kanggo Windows.
Panyedhiya ETW kanggo filter sandi iki yaiku 07d83223-7594-4852-babc-784803fdf6c5. Dadi, contone, sampeyan bisa ngatur tracing acara sawise urip maneh ing ngisor iki:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Tracing bakal diwiwiti sawise urip maneh sistem sabanjure. Kanggo mungkasi:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Kabeh prentah kasebut ditemtokake ing skrip StartTracingAtBoot.cmd ΠΈ StopTracingAtBoot.cmd.
Kanggo mriksa siji-wektu operasi Filter, sampeyan bisa nggunakake StartTracing.cmd ΠΈ StopTracing.cmd.
Supaya gampang maca knalpot debug filter iki ing Microsoft Message Analyzer Disaranake nggunakake setelan ing ngisor iki:
Nalika mandheg logging lan parsing Microsoft Message Analyzer kabeh katon kaya iki:
Ing kene sampeyan bisa ndeleng manawa ana upaya kanggo nyetel tembung sandhi kanggo pangguna - tembung ajaib ngandhani babagan iki SET ing debug. Lan tembung sandhi ditolak amarga ana ing file cithakan lan luwih saka 30% cocog ing teks sing dilebokake.
Yen nyoba ngganti tembung sandhi sing sukses, kita bakal weruh ing ngisor iki:
Ana sawetara rasa ora nyaman kanggo pangguna pungkasan. Nalika sampeyan nyoba ngganti tembung sandhi sing kalebu ing dhaptar file template, pesen ing layar ora beda karo pesen standar nalika kabijakan sandhi ora ditindakake.
Mulane, disiapake kanggo telpon lan bengok: "Aku ngetik sandhi kanthi bener, nanging ora bisa."
Asil asil.
Pustaka iki ngidini sampeyan nglarang nggunakake tembung sandhi sing prasaja utawa standar ing domain Active Directory. Ayo ngomong "Ora!" sandhi kaya: "P@ssw0rd", "Qwerty123", "ADm1n098".
Ya, mesthi, pangguna bakal luwih tresna sampeyan amarga ngurus keamanan lan kudu nggawe tembung sandhi sing nggumunake. Lan, mbok menawa, nomer telpon lan panjalukan kanggo bantuan karo sandi bakal nambah. Nanging keamanan teka ing rega.
Link menyang sumber daya sing digunakake:
Artikel Microsoft babagan perpustakaan filter sandi khusus:
PassFiltEx:
Link release:
Dhaptar tembung sandhi:
Dhaftar DanielMiessler:
Dhaptar tembung saka weakpass.com:
Dhaptar tembung saka repo berzerk0:
Microsoft Message Analyzer:
Source: www.habr.com