표준 비밀번호를 금지하고 모든 사람이 당신을 미워하게 만드는 방법

아시다시피 인간은 게으른 생물입니다.
강력한 비밀번호를 선택하는 경우에는 더욱 그렇습니다.

저는 모든 관리자가 가볍고 표준적인 비밀번호를 사용하는 문제에 직면한 적이 있다고 생각합니다. 이러한 현상은 회사 경영진의 상위 계층에서 자주 발생합니다. 예, 예, 정확하게는 비밀 정보나 상업 정보에 접근할 수 있는 사람들 사이에서 비밀번호 유출/해킹 및 추가 사고의 결과를 제거하는 것은 매우 바람직하지 않습니다.

실제로는 암호 정책이 활성화된 Active Directory 도메인에서 회계사가 독립적으로 "Pas$w0rd1234"와 같은 암호가 정책 요구 사항에 완벽하게 부합한다는 생각을 갖게 된 경우가 있었습니다. 그 결과 이 ​​비밀번호는 모든 곳에서 널리 사용되었습니다. 때때로 그는 숫자 집합에서만 달랐습니다.

저는 비밀번호 정책을 활성화하고 문자 집합을 정의할 수 있을 뿐만 아니라 사전을 기준으로 필터링할 수 있기를 정말로 원했습니다. 그러한 비밀번호를 사용할 가능성을 배제합니다.

Microsoft는 컴파일러, IDE를 올바르게 손에 쥐고 C++를 올바르게 발음하는 방법을 아는 사람이라면 누구나 필요한 라이브러리를 컴파일하고 자신의 이해에 따라 사용할 수 있다는 것을 링크를 통해 친절하게 알려줍니다. 당신의 겸손한 종은 이것을 할 수 없기 때문에 기성 솔루션을 찾아야했습니다.

오랜 시간의 검색 끝에 문제를 해결하기 위한 두 가지 옵션이 공개되었습니다. 물론 저는 OpenSource 솔루션에 대해 이야기하고 있습니다. 결국 처음부터 끝까지 유료 옵션이 있습니다.

옵션 번호 1. 비밀번호 필터 열기

약 2년 동안 커밋이 없었습니다. 기본 설치 프로그램이 가끔 작동하므로 수동으로 수정해야 합니다. 자체적으로 별도의 서비스를 만듭니다. 비밀번호 파일을 업데이트할 때 DLL은 변경된 내용을 자동으로 선택하지 않으므로 서비스를 중지하고 시간 초과를 기다린 후 파일을 편집하고 서비스를 시작해야 합니다.

얼음이 없어!

옵션 번호 2. PassFiltEx

프로젝트는 활발하고, 살아있고, 차가운 몸을 걷어찰 필요조차 없습니다.
필터를 설치하려면 두 개의 파일을 복사하고 여러 레지스트리 항목을 생성해야 합니다. 비밀번호 파일은 잠겨 있지 않습니다. 즉, 편집이 가능하며 프로젝트 작성자의 아이디어에 따라 XNUMX분에 한 번만 읽습니다. 또한 추가 레지스트리 항목을 사용하면 필터 자체와 비밀번호 정책의 미묘한 차이까지 추가로 구성할 수 있습니다.

따라서.
제공: Active Directory 도메인 test.local
Windows 8.1 테스트 워크스테이션(문제의 목적상 중요하지 않음)
비밀번호 필터 PassFiltEx

• 링크에서 최신 릴리스를 다운로드하세요. PassFiltEx
• 복사 PassFiltEx.dll в C : WindowsSystem32 (또는 % SystemRoot % System32).
  복사 PassFiltExBlacklist.txt в C : WindowsSystem32 (또는 % SystemRoot % System32). 필요한 경우 자체 템플릿으로 보완합니다.
  
• 레지스트리 분기 편집: HKLMSYSTEMCurrentControlSetControlLsa => 알림 패키지
  첨가 PassFiltEx 목록 끝까지. (확장자를 지정할 필요는 없습니다.) 스캔에 사용되는 전체 패키지 목록은 다음과 같습니다.rassfm scecli PassFiltEx".
  
• 도메인 컨트롤러를 재부팅합니다.
• 모든 도메인 컨트롤러에 대해 위의 절차를 반복합니다.

또한 다음 레지스트리 항목을 추가하면 이 필터를 더 유연하게 사용할 수 있습니다.

부분: HKLMSOFTWAREPassFiltEx — 자동으로 생성됩니다.

• HKLMSOFTWAREPassFiltExBlacklist파일 이름, REG_SZ, 기본값: PassFiltExBlacklist.txt

  블랙리스트파일이름 — 비밀번호 템플릿을 사용하여 파일에 대한 사용자 정의 경로를 지정할 수 있습니다. 이 레지스트리 항목이 비어 있거나 존재하지 않으면 다음과 같은 기본 경로가 사용됩니다. % SystemRoot % System32. 네트워크 경로를 지정할 수도 있지만 템플릿 파일에는 읽기, 쓰기, 삭제, 변경에 대한 명확한 권한이 있어야 한다는 점을 기억해야 합니다.

• HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, 기본값: 60

  TokenPercentageOfPassword — 새 비밀번호의 마스크 비율을 지정할 수 있습니다. 기본값은 60%입니다. 예를 들어 발생률이 60이고 starwars 문자열이 템플릿 파일에 있는 경우 비밀번호는 스타워즈1! 비밀번호가 입력되는 동안 거부됩니다. starwars1!다스베이더88 비밀번호의 문자열 비율이 60% 미만이므로 허용됩니다.

• HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, 기본값: 0

  RequireCharClasses — 표준 ActiveDirectory 암호 복잡성 요구 사항에 비해 암호 요구 사항을 확장할 수 있습니다. 기본 제공 복잡성 요구 사항에는 대문자, 소문자, 숫자, 특수 문자, 유니코드 등 3가지 종류의 문자 중 5가지가 필요합니다. 이 레지스트리 항목을 사용하면 암호 복잡성 요구 사항을 설정할 수 있습니다. 지정할 수 있는 값은 비트 집합으로, 각 비트는 XNUMX의 거듭제곱에 해당합니다.
  즉, 1 = 소문자, 2 = 대문자, 4 = 숫자, 8 = 특수 문자, 16 = 유니코드 문자입니다.
  따라서 값이 7이면 요구 사항은 "대문자"가 됩니다. 및 소문자 및 숫자”, 값 31 - “대문자 및 소문자 및 자릿수 및 특수 기호 및 유니코드 문자."
  결합할 수도 있습니다 - 19 = “대문자 및 소문자 및 유니코드 문자."

• 

템플릿 파일을 생성할 때의 여러 규칙:

• 템플릿은 대소문자를 구분하지 않습니다. 따라서 파일 항목은 스타 워즈 и 스타 워즈 같은 값으로 결정됩니다.
• 블랙리스트 파일은 60초마다 다시 읽혀지기 때문에 쉽게 편집할 수 있으며, XNUMX분 후에는 새 데이터가 필터에 사용됩니다.
• 현재 패턴 일치에 대한 유니코드 지원은 없습니다. 즉, 비밀번호에 유니코드 문자를 사용할 수 있지만 필터는 작동하지 않습니다. 유니코드 비밀번호를 사용하는 사용자를 본 적이 없기 때문에 이것은 중요하지 않습니다.
• 템플릿 파일에는 빈 줄을 허용하지 않는 것이 좋습니다. 디버그에서는 파일에서 데이터를 로드할 때 오류를 볼 수 있습니다. 필터는 작동하지만 추가 예외가 발생하는 이유는 무엇입니까?

디버깅을 위해 아카이브에는 로그를 생성한 후 다음을 사용하여 구문 분석할 수 있는 배치 파일이 포함되어 있습니다. 마이크로소프트 메시지 분석기.
이 암호 필터는 Windows용 이벤트 추적을 사용합니다.

이 비밀번호 필터의 ETW 공급자는 다음과 같습니다. 07d83223-7594-4852-babc-784803fdf6c5. 예를 들어 다음 재부팅 후에 이벤트 추적을 구성할 수 있습니다.
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

다음번 시스템 재부팅 후에 추적이 시작됩니다. 그만하다:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
이 모든 명령은 스크립트에 지정됩니다 StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

필터 작동을 한 번만 확인하려면 다음을 사용할 수 있습니다. StartTracing.cmd и StopTracing.cmd.
이 필터의 디버그 배기를 편리하게 읽으려면 Microsoft Message Analyzer 다음 설정을 사용하는 것이 좋습니다.

로깅 및 파싱을 중지할 때 Microsoft Message Analyzer 모든 것이 다음과 같이 보입니다.

여기에서 사용자의 비밀번호를 설정하려는 시도가 있었음을 알 수 있습니다. 마법의 단어가 이를 알려줍니다. SET를 디버그 중. 그리고 비밀번호가 템플릿 파일에 존재하고 입력된 텍스트와 30% 이상 일치하기 때문에 비밀번호가 거부되었습니다.

비밀번호 변경 시도가 성공하면 다음이 표시됩니다.

최종 사용자에게는 약간의 불편함이 있습니다. 템플릿 목록 파일에 포함된 비밀번호를 변경하려고 하면 화면에 나타나는 메시지는 비밀번호 정책을 통과하지 못한 경우의 표준 메시지와 다르지 않습니다.

그러므로 “비밀번호를 올바르게 입력했는데 작동하지 않습니다.”라는 전화와 소리에 대비하십시오.

요약.

이 라이브러리를 사용하면 Active Directory 도메인에서 단순 비밀번호 또는 표준 비밀번호의 사용을 금지할 수 있습니다. "아니요!"라고 말하자! "P@ssw0rd", "Qwerty123", "ADm1n098"과 같은 비밀번호입니다.
예, 물론 사용자들은 보안을 철저히 관리하고 놀라운 비밀번호를 고안해야 하는 귀하를 더욱 좋아할 것입니다. 그리고 아마도 비밀번호에 대한 도움을 요청하는 통화 횟수가 늘어날 것입니다. 그러나 보안에는 대가가 따릅니다.

사용된 리소스에 대한 링크:
사용자 정의 비밀번호 필터 라이브러리에 관한 Microsoft 기사: 비밀번호 필터
PassFiltEx: PassFiltEx
릴리스 링크: 최신 릴리스
비밀번호 목록:
DanielMiessler 목록: 링크를 클릭합니다.
Weakpass.com의 단어 목록: 링크를 클릭합니다.
berzerk0 저장소의 단어 목록: 링크를 클릭합니다.
Microsoft 메시지 분석기: 마이크로소프트 메시지 분석기.

출처 : habr.com