របៀបហាមឃាត់ពាក្យសម្ងាត់ស្តង់ដារ និងធ្វើឱ្យមនុស្សគ្រប់គ្នាស្អប់អ្នក។

ដូចដែលអ្នកបានដឹងហើយថាមនុស្សគឺជាសត្វដែលខ្ជិលច្រអូស។
ហើយ​រឹតតែ​ពិសេស​ជាង​នេះ​ទៅ​ទៀត​នៅ​ពេល​ដែល​វា​មក​ដល់​ការ​ជ្រើស​រើស​ពាក្យ​សម្ងាត់​ខ្លាំង។

ខ្ញុំ​គិត​ថា អ្នក​គ្រប់​គ្រង​គ្រប់​រូប​ធ្លាប់​ជួប​ប្រទះ​នឹង​បញ្ហា​នៃ​ការ​ប្រើ​លេខ​សម្ងាត់​ស្រាល និង​ស្តង់ដារ។ បាតុភូតនេះច្រើនតែកើតឡើងក្នុងចំណោមផ្នែកខាងលើនៃការគ្រប់គ្រងក្រុមហ៊ុន។ បាទ/ចាស បាទ ច្បាស់ណាស់ក្នុងចំណោមអ្នកដែលមានសិទ្ធិចូលប្រើព័ត៌មានសម្ងាត់ ឬពាណិជ្ជកម្ម ហើយវាពិតជាមិនគួរឱ្យចង់បានខ្លាំងណាស់ក្នុងការលុបបំបាត់ផលវិបាកនៃការលេចធ្លាយ/ការលួចចូលពាក្យសម្ងាត់ និងឧប្បត្តិហេតុបន្ថែមទៀត។

នៅក្នុងការអនុវត្តរបស់ខ្ញុំ មានករណីមួយនៅពេលដែលនៅក្នុងដែន Active Directory ដែលមានគោលការណ៍ពាក្យសម្ងាត់ត្រូវបានបើក គណនេយ្យករបានមកដោយឯករាជ្យនូវគំនិតដែលថាពាក្យសម្ងាត់ដូចជា "Pas$w0rd1234" សមនឹងតម្រូវការគោលនយោបាយយ៉ាងល្អឥតខ្ចោះ។ ផលវិបាកគឺការប្រើប្រាស់ពាក្យសម្ងាត់នេះយ៉ាងទូលំទូលាយនៅគ្រប់ទីកន្លែង។ ពេលខ្លះគាត់ខុសគ្នាតែនៅក្នុងសំណុំលេខរបស់គាត់ប៉ុណ្ណោះ។

ខ្ញុំពិតជាចង់មិនត្រឹមតែអាចបើកគោលការណ៍ពាក្យសម្ងាត់ និងកំណត់សំណុំតួអក្សរប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងត្រងតាមវចនានុក្រមផងដែរ។ ដើម្បីមិនរាប់បញ្ចូលលទ្ធភាពនៃការប្រើប្រាស់ពាក្យសម្ងាត់បែបនេះ។

ក្រុមហ៊ុន Microsoft សូមជូនដំណឹងដល់ពួកយើងតាមរយៈតំណភ្ជាប់ថា អ្នកណាដែលដឹងពីរបៀបកាន់ Compiler, IDE នៅក្នុងដៃរបស់ពួកគេបានត្រឹមត្រូវ និងដឹងពីរបៀបបញ្ចេញសំឡេង C++ បានត្រឹមត្រូវ អាចចងក្រងបណ្ណាល័យដែលពួកគេត្រូវការ និងប្រើប្រាស់វាតាមការយល់ដឹងរបស់ពួកគេ។ អ្នកបម្រើដ៏រាបទាបរបស់អ្នកមិនមានសមត្ថភាពនេះទេ ដូច្នេះខ្ញុំត្រូវស្វែងរកដំណោះស្រាយដែលត្រៀមរួចជាស្រេច។

បន្ទាប់ពីការស្វែងរកអស់រយៈពេលជាច្រើនម៉ោង ជម្រើសពីរសម្រាប់ការដោះស្រាយបញ្ហាត្រូវបានបង្ហាញ។ ជាការពិតណាស់ខ្ញុំកំពុងនិយាយអំពីដំណោះស្រាយ OpenSource ។ យ៉ាងណាមិញមានជម្រើសបង់ប្រាក់ - ពីដើមដល់ចប់។

ជម្រើសទី 1 ។ OpenPasswordFilter

មិនមានការប្តេជ្ញាចិត្តអស់រយៈពេលប្រហែល 2 ឆ្នាំមកហើយឥឡូវនេះ កម្មវិធីដំឡើងដើមដំណើរការជារៀងរាល់ពេល អ្នកត្រូវតែកែតម្រូវវាដោយដៃ។ បង្កើតសេវាកម្មដាច់ដោយឡែករបស់ខ្លួន។ នៅពេលធ្វើបច្ចុប្បន្នភាពឯកសារពាក្យសម្ងាត់ DLL មិនទទួលយកមាតិកាដែលបានផ្លាស់ប្តូរដោយស្វ័យប្រវត្តិទេ អ្នកត្រូវបញ្ឈប់សេវាកម្ម រង់ចាំអស់ពេល កែសម្រួលឯកសារ និងចាប់ផ្តើមសេវាកម្ម។

គ្មានទឹកកកទេ!

ជម្រើសទី 2 ។ PassFiltEx

គម្រោងនេះគឺសកម្ម រស់រានមានជីវិត ហើយមិនចាំបាច់សូម្បីតែទាត់រាងកាយត្រជាក់។
ការដំឡើងតម្រងពាក់ព័ន្ធនឹងការចម្លងឯកសារពីរ និងបង្កើតធាតុបញ្ជីឈ្មោះជាច្រើន។ ឯកសារពាក្យសម្ងាត់មិនស្ថិតនៅក្នុងសោទេ ពោលគឺវាអាចរកបានសម្រាប់កែសម្រួល ហើយយោងទៅតាមគំនិតរបស់អ្នកនិពន្ធគម្រោង វាត្រូវបានអានម្តងក្នុងមួយនាទី។ ដូចគ្នានេះផងដែរ ដោយប្រើធាតុចុះបញ្ជីបន្ថែម អ្នកអាចកំណត់រចនាសម្ព័ន្ធតម្រងខ្លួនវា និងសូម្បីតែភាពខុសប្លែកគ្នានៃគោលការណ៍ពាក្យសម្ងាត់។

ដូច្នេះ
បានផ្តល់ឱ្យ៖ ដែនថតសកម្ម test.local
ស្ថានីយការងារសាកល្បង Windows 8.1 (មិនសំខាន់សម្រាប់គោលបំណងនៃបញ្ហា)
តម្រងពាក្យសម្ងាត់ PassFiltEx

• ទាញយកការចេញផ្សាយចុងក្រោយបំផុតពីតំណ PassFiltEx
• ចម្លង PassFiltEx.dll в C: WindowsSystem32 (ឬ %SystemRoot%System32).
  ចម្លង PassFiltExBlacklist.txt в C: WindowsSystem32 (ឬ %SystemRoot%System32) បើចាំបាច់ យើងបន្ថែមវាជាមួយនឹងគំរូរបស់យើងផ្ទាល់
  
• ការកែសម្រួលសាខាបញ្ជីឈ្មោះ៖ HKLMSYSTEMCurrentControlSetControlLsa => កញ្ចប់ជូនដំណឹង
  បន្ថែម PassFiltEx ទៅចុងបញ្ចប់នៃបញ្ជី។ (ផ្នែកបន្ថែមមិនចាំបាច់បញ្ជាក់ទេ។) បញ្ជីពេញលេញនៃកញ្ចប់ដែលប្រើសម្រាប់ការស្កេននឹងមើលទៅដូចនេះ “rassfm scecli PassFiltEx"។
  
• ចាប់ផ្ដើមឧបករណ៍បញ្ជាដែនឡើងវិញ។
• យើងធ្វើបែបបទខាងលើម្តងទៀតសម្រាប់ឧបករណ៍បញ្ជាដែនទាំងអស់។

អ្នកក៏អាចបន្ថែមធាតុបញ្ជីឈ្មោះខាងក្រោម ដែលផ្តល់ឱ្យអ្នកនូវភាពបត់បែនបន្ថែមទៀតក្នុងការប្រើតម្រងនេះ៖

ជំពូក៖ HKLMSOFTWAREPassFiltEx - ត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ។

• HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, លំនាំដើម៖ PassFiltExBlacklist.txt

  ឈ្មោះឯកសារក្នុងបញ្ជីខ្មៅ — អនុញ្ញាតឱ្យអ្នកបញ្ជាក់ផ្លូវផ្ទាល់ខ្លួនទៅកាន់ឯកសារដែលមានគំរូពាក្យសម្ងាត់។ ប្រសិនបើធាតុបញ្ជីឈ្មោះនេះទទេ ឬមិនមាន នោះផ្លូវលំនាំដើមត្រូវបានប្រើ ដែលជា - %SystemRoot%System32. អ្នកថែមទាំងអាចបញ្ជាក់ផ្លូវបណ្តាញមួយ ប៉ុន្តែអ្នកត្រូវចាំថា ឯកសារគំរូត្រូវតែមានការអនុញ្ញាតច្បាស់លាស់សម្រាប់ការអាន សរសេរ លុប ផ្លាស់ប្តូរ។

• HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, លំនាំដើម៖ ៦០

  TokenPercentageOfPassword - អនុញ្ញាតឱ្យអ្នកបញ្ជាក់ភាគរយនៃរបាំងមុខនៅក្នុងពាក្យសម្ងាត់ថ្មី។ តម្លៃលំនាំដើមគឺ 60% ។ ឧទាហរណ៍ ប្រសិនបើភាគរយកើតឡើងគឺ 60 ហើយខ្សែអក្សរ starwars ស្ថិតនៅក្នុងឯកសារគំរូ នោះពាក្យសម្ងាត់ Starwars1! នឹងត្រូវបានបដិសេធខណៈពេលដែលពាក្យសម្ងាត់ starwars1! DarthVader88 នឹងត្រូវបានទទួលយកព្រោះភាគរយនៃខ្សែអក្សរនៅក្នុងពាក្យសម្ងាត់គឺតិចជាង 60%

• HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, លំនាំដើម៖ ៦០

  ទាមទារCharClasses — អនុញ្ញាត​ឱ្យ​អ្នក​ពង្រីក​តម្រូវ​ការ​ពាក្យ​សម្ងាត់​បើ​ធៀប​នឹង​ស្ដង់ដារ​តម្រូវ​ការ​ការ​ស្មុគស្មាញ​ពាក្យ​សម្ងាត់ ActiveDirectory ។ តម្រូវការស្មុគ្រស្មាញដែលភ្ជាប់មកជាមួយតម្រូវឱ្យមាន 3 ក្នុងចំណោម 5 ប្រភេទផ្សេងគ្នានៃតួអក្សរ៖ អក្សរធំ អក្សរតូច ខ្ទង់ ពិសេស និងយូនីកូដ។ ដោយប្រើធាតុចុះឈ្មោះនេះ អ្នកអាចកំណត់តម្រូវការភាពស្មុគស្មាញនៃពាក្យសម្ងាត់របស់អ្នក។ តម្លៃ​ដែល​អាច​បញ្ជាក់​បាន​គឺ​ជា​សំណុំ​ប៊ីត ដែល​នីមួយៗ​ជា​ថាមពល​ដែល​ត្រូវ​គ្នា​នៃ​ពីរ។
  នោះគឺ - 1 = អក្សរតូច 2 = អក្សរធំ 4 = ខ្ទង់ 8 = តួអក្សរពិសេស និង 16 = តួអក្សរយូនីកូដ។
  ដូច្នេះជាមួយនឹងតម្លៃ 7 តម្រូវការគឺ "ករណីខាងលើ" និង អក្សរ​តូច និង ខ្ទង់” និងជាមួយតម្លៃ ៣១ -“ អក្សរធំ និង អក្សរ​តូច និង ខ្ទង់ និង និមិត្តសញ្ញាពិសេស និង តួអក្សរយូនីកូដ។
  អ្នកអាចផ្សំ - 19 = "អក្សរធំ និង អក្សរ​តូច និង តួអក្សរយូនីកូដ។

• 

ច្បាប់មួយចំនួននៅពេលបង្កើតឯកសារគំរូ៖

• គំរូមិនប្រកាន់អក្សរតូចធំទេ។ ដូច្នេះការបញ្ចូលឯកសារ សង្គ្រាម​ភព​ផ្កាយ и សង្គ្រាម​ភព​ផ្កាយ នឹងត្រូវបានកំណត់ថាជាតម្លៃដូចគ្នា។
• ឯកសារបញ្ជីខ្មៅត្រូវបានអានឡើងវិញរៀងរាល់ 60 វិនាទី ដូច្នេះអ្នកអាចកែសម្រួលវាបានយ៉ាងងាយស្រួល បន្ទាប់ពីមួយនាទី ទិន្នន័យថ្មីនឹងត្រូវបានប្រើប្រាស់ដោយតម្រង។
• បច្ចុប្បន្នមិនមានការគាំទ្រយូនីកូដសម្រាប់ការផ្គូផ្គងលំនាំទេ។ នោះគឺអ្នកអាចប្រើតួអក្សរយូនីកូដនៅក្នុងពាក្យសម្ងាត់ ប៉ុន្តែតម្រងនឹងមិនដំណើរការទេ។ នេះមិនសំខាន់ទេ ព្រោះខ្ញុំមិនបានឃើញអ្នកប្រើប្រាស់ដែលប្រើពាក្យសម្ងាត់យូនីកូដទេ។
• វាត្រូវបានណែនាំឱ្យមិនអនុញ្ញាតឱ្យមានបន្ទាត់ទទេនៅក្នុងឯកសារគំរូ។ នៅក្នុងការបំបាត់កំហុស អ្នកអាចឃើញកំហុសនៅពេលផ្ទុកទិន្នន័យពីឯកសារ។ តម្រងដំណើរការ ប៉ុន្តែហេតុអ្វីបានជាមានការលើកលែងបន្ថែម?

សម្រាប់ការកែកំហុស បណ្ណសារមានឯកសារបាច់ដែលអនុញ្ញាតឱ្យអ្នកបង្កើតកំណត់ហេតុមួយ ហើយបន្ទាប់មកញែកវាដោយប្រើឧទាហរណ៍។ Microsoft Message Analyzer ។
តម្រងពាក្យសម្ងាត់នេះប្រើការតាមដានព្រឹត្តិការណ៍សម្រាប់វីនដូ។

អ្នកផ្តល់សេវា ETW សម្រាប់តម្រងពាក្យសម្ងាត់នេះគឺ 07d83223-7594-4852-babc-784803fdf6c5. ដូច្នេះ ជាឧទាហរណ៍ អ្នកអាចកំណត់រចនាសម្ព័ន្ធការតាមដានព្រឹត្តិការណ៍បន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញដូចខាងក្រោម៖
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

ការតាមដាននឹងចាប់ផ្តើមបន្ទាប់ពីការចាប់ផ្ដើមប្រព័ន្ធបន្ទាប់។ ឈប់:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
ពាក្យបញ្ជាទាំងអស់នេះត្រូវបានបញ្ជាក់នៅក្នុងស្គ្រីប StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

សម្រាប់ការត្រួតពិនិត្យមួយដងនៃប្រតិបត្តិការតម្រងអ្នកអាចប្រើ StartTracing.cmd и StopTracing.cmd.
ដើម្បីងាយស្រួលអានការបំបាត់កំហុសនៃតម្រងនេះនៅក្នុង កម្មវិធីវិភាគសាររបស់ Microsoft វាត្រូវបានណែនាំឱ្យប្រើការកំណត់ខាងក្រោម៖

នៅពេលបញ្ឈប់ការចូល និងញែកចូល កម្មវិធីវិភាគសាររបស់ Microsoft អ្វីៗមើលទៅដូចនេះ៖

នៅទីនេះអ្នកអាចមើលឃើញថាមានការប៉ុនប៉ងដើម្បីកំណត់ពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ - ពាក្យវេទមន្តប្រាប់យើងអំពីរឿងនេះ SET ក្នុង​ការ​បំបាត់​កំហុស។ ហើយពាក្យសម្ងាត់ត្រូវបានច្រានចោលដោយសារតែវត្តមានរបស់វានៅក្នុងឯកសារគំរូ និងច្រើនជាង 30% ត្រូវគ្នានៅក្នុងអត្ថបទដែលបានបញ្ចូល។

ប្រសិនបើការប៉ុនប៉ងផ្លាស់ប្តូរពាក្យសម្ងាត់ជោគជ័យត្រូវបានធ្វើឡើង យើងឃើញដូចខាងក្រោម៖

មានការរអាក់រអួលខ្លះសម្រាប់អ្នកប្រើប្រាស់ចុងក្រោយ។ នៅពេលអ្នកព្យាយាមផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលត្រូវបានបញ្ចូលក្នុងបញ្ជីឯកសារគំរូ សារនៅលើអេក្រង់មិនខុសពីសារស្តង់ដារទេ នៅពេលដែលគោលការណ៍ពាក្យសម្ងាត់មិនត្រូវបានឆ្លងកាត់។

ដូច្នេះ សូម​ត្រៀម​ខ្លួន​សម្រាប់​ការ​ហៅ​ទូរសព្ទ និង​ស្រែក៖ "ខ្ញុំ​បាន​បញ្ចូល​ពាក្យ​សម្ងាត់​ត្រឹមត្រូវ ប៉ុន្តែ​វា​មិន​ដំណើរការ​ទេ"។

លទ្ធផល។

បណ្ណាល័យនេះអនុញ្ញាតឱ្យអ្នកហាមឃាត់ការប្រើប្រាស់ពាក្យសម្ងាត់សាមញ្ញ ឬស្តង់ដារនៅក្នុងដែន Active Directory ។ ចូរនិយាយថា "ទេ!" ពាក្យសម្ងាត់ដូចជា៖ “P@ssw0rd”, “Qwerty123”, “ADm1n098” ។
បាទ ប្រាកដណាស់ អ្នកប្រើប្រាស់នឹងស្រឡាញ់អ្នកកាន់តែខ្លាំងសម្រាប់ការថែរក្សាសុវត្ថិភាពរបស់ពួកគេ និងតម្រូវការក្នុងការបង្កើតពាក្យសម្ងាត់ដែលគួរឱ្យចាប់អារម្មណ៍។ ហើយប្រហែលជា ចំនួននៃការហៅទូរសព្ទ និងការស្នើសុំជំនួយដោយប្រើពាក្យសម្ងាត់របស់អ្នកនឹងកើនឡើង។ ប៉ុន្តែសន្តិសុខមកក្នុងតម្លៃមួយ។

តំណភ្ជាប់ទៅកាន់ធនធានដែលបានប្រើ៖
អត្ថបទរបស់ Microsoft ទាក់ទងនឹងបណ្ណាល័យតម្រងពាក្យសម្ងាត់ផ្ទាល់ខ្លួន៖ តម្រងពាក្យសម្ងាត់
PassFiltEx៖ PassFiltEx
តំណចេញផ្សាយ៖ ការចេញផ្សាយចុងក្រោយ
បញ្ជីពាក្យសម្ងាត់៖
DanielMiessler រាយបញ្ជី៖ តំណ។
បញ្ជីពាក្យពី weakpass.com៖ តំណ។
បញ្ជីពាក្យពី berzerk0 repo៖ តំណ។
Microsoft Message Analyzer៖ Microsoft Message Analyzer ។

ប្រភព: www.habr.com