Mirov, wekî hûn jî dizanin, mexlûqek tembel e.
Û hê bêtir dema ku ew ji bo hilbijartina şîfreyek bihêz tê.
Ez difikirim ku her rêveber carî bi pirsgirêka karanîna şîfreyên sivik û standard re rû bi rû maye. Ev diyarde bi gelemperî di nav pileyên jorîn ên rêveberiya pargîdaniyê de pêk tê. Erê, erê, tam di nav wan kesan de ku xwedan agahdariya veşartî an bazirganî ne û dê pir nexwestî be ku encamên derçûyên şîfreyê/hackkirinê û bûyerên din ji holê rakin.
Di pratîka min de, bûyerek hebû ku, di domanek Active Directory de ku polîtîkayek şîfreyê çalak e, hesabkar bi rengek serbixwe gihîştin vê ramanê ku şîfreyek mîna "Pas$w0rd1234" bi tevahî daxwazên polîtîkayê li hev dike. Encama berbelavbûna vê şîfreyê li her derê bû. Carinan ew tenê di rêza hejmarên xwe de cûda dibû.
Min bi rastî dixwest ku ez ne tenê polîtîkaya şîfreyek çalak bikim û komek karakterek diyar bikim, lê di heman demê de bi ferhengê jî fîlter bikim. Ji bo ku îhtîmala bikaranîna şîfreyên weha ji holê rakin.
Microsoft ji kerema xwe bi rêya lînkê agahdar dike ku her kesê ku bizane berhevkarek, IDE rast di destên xwe de bigire û zanibe C++ rast bilêv bike, dikare pirtûkxaneya ku hewce dike berhev bike û li gorî têgihîştina xwe bikar bîne. Xulamê te yê nefsbiçûk ne ji bo vê yekê ye, ji ber vê yekê ez neçar bûm ku li çareyek amade bigerim.
Piştî demjimêrek dirêj ji lêgerînê, du vebijarkên ji bo çareserkirina pirsgirêkê derketin holê. Ez, bê guman, li ser çareseriya OpenSource dipeyivim. Beriya her tiştî, vebijarkên drav hene - ji destpêkê heya dawiyê.
Vebijarka hejmar 1.
Nêzîkî 2 sal in tu soz tunene. Sazkera xwemalî her carê dixebite, divê hûn wê bi destan rast bikin. Xizmeta xwe ya cuda diafirîne. Dema ku pelek şîfreyek nûve dike, DLL bixweber naveroka guhertî hilnagire; hûn hewce ne ku karûbarê rawestînin, demek dirêj bisekinin, pelê biguherînin û karûbarê dest pê bikin.
Ne qeşa!
Vebijarka hejmar 2.
Proje çalak e, zindî ye û ne hewce ye ku laşê sar jî lê bixin.
Sazkirina parzûnê bi kopîkirina du pelan û çêkirina çend navnîşên tomarê vedihewîne. Pelê şîfreyê ne di qeflekê de ye, ango ew ji bo guherandinê peyda dibe û, li gorî ramana nivîskarê projeyê, ew tenê hûrdemek carekê tê xwendin. Di heman demê de, bi karanîna navnîşên qeydê yên din, hûn dikarin hem fîlterê bixwe û hem jî hûrgelên polîtîkaya şîfreyê mîheng bikin.
Wê, paşê.
Given: Active Directory domain test.local
Windows 8.1 qereqola testê ya xebatê (ji bo armanca pirsgirêkê ne girîng e)
Parzûna şîfreyê PassFiltEx
- Daxuyaniya herî dawî ji lînkê dakêşin
- Kopî PassFiltEx.dll в C: WindowsSystem32 (an jî %SystemRoot%System32).
Kopî PassFiltExBlacklist.txt в C: WindowsSystem32 (an jî %SystemRoot%System32). Ger hewce be, em wê bi şablonên xwe temam dikin
- Guhertina şaxê qeydê: HKLMSYSTEMCcurrentControlSetControlLsa => Pakêtên Notification
Zêde bikin PassFiltEx heta dawiya lîsteyê. (Ne hewce ye ku dirêjkirin were diyar kirin.) Lîsteya bêkêmasî ya pakêtên ku ji bo şopandinê têne bikar anîn dê wiha xuya bike "rassfm scecli PassFiltEx".
- Kontrolkerê domainê ji nû ve saz bikin.
- Em prosedûra jorîn ji bo hemî kontrolkerên domainê dubare dikin.
Her weha hûn dikarin navnîşên qeydê yên jêrîn lê zêde bikin, ku di karanîna vê parzûnê de bêtir nermbûn dide we:
Liq: HKLMSSOFTWAREPassFiltEx - bixweber tê afirandin.
- HKLMSOFTWAREPassFiltExBlacklistName File, REG_SZ, Pêşniyar: PassFiltExBlacklist.txt
Blacklist FileName - dihêle hûn bi şablonên şîfreyê rêyek xwerû ya pelê diyar bikin. Ger ev têketina qeydê vala be an tune be, wê hingê riya xwerû tê bikar anîn, ku ev e - %SystemRoot%System32. Tewra hûn dikarin rêyek torê diyar bikin, LÊ divê hûn ji bîr mekin ku pelê şablonê ji bo xwendin, nivîsandin, jêbirin, guheztinê divê destûrên zelal hebin.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Pêşbirk: 60
TokenPercentageOfPassword - dihêle hûn di şîfreya nû de ji sedî maskê diyar bikin. Nirxa xwerû %60 e. Mînakî, heke rêjeya ji sedî 60 be û stêrwarên rêzê di pelê şablonê de be, wê hingê şîfre Starwars1! dema şîfre dê were red kirin starwars1!DarthVader88 dê were pejirandin ji ber ku rêjeya rêzika şîfreyê ji %60 kêmtir e
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Pêşbirk: 0
RequireCharClasses - dihêle hûn hewcedariyên şîfreyê li gorî daxwazên tevliheviya şîfreya ActiveDirectory standard berfireh bikin. Pêdiviyên tevliheviyê yên çêkirî 3 ji 5 celebên cûrbecûr yên mimkun hewce dike: Mezin, Biçûk, Hêjmar, Taybet, û Unicode. Bi karanîna vê navnîşa qeydkirinê, hûn dikarin daxwazên tevliheviya şîfreya xwe bicîh bikin. Nirxa ku dikare were destnîşan kirin komek bit e, ku her yek ji wan hêza duduyan e.
Ango, 1 = tîpên piçûk, 2 = tîpên mezin, 4 = jimar, 8 = karaktera taybetî, û 16 = karaktera Unicode.
Ji ber vê yekê bi nirxa 7 hewcedarî dê bibin "Doza Jorîn" Û tîpên biçûk Û jimar", û bi nirxa 31 - "Mesela jorîn Û doza jêrîn Û hejmar Û sembola taybet Û Karaktera Unicode."
Tewra hûn dikarin hev bikin - 19 = "Mesela jorîn Û doza jêrîn Û Karaktera Unicode." -
Dema çêkirina pelê şablonê çend rêzik:
- Şablonên haletên nehesas in. Ji ber vê yekê, têketina pelê şerrê stêran и Şerrê stêran dê bi heman nirxê were destnîşankirin.
- Pelê lîsteya reş her 60 saniyan carek ji nû ve tê xwendin, ji ber vê yekê hûn dikarin bi hêsanî wê biguherînin; piştî deqeyek, daneyên nû dê ji hêla parzûnê ve were bikar anîn.
- Heya niha ji bo berhevkirina nimûneyê piştgirîya Unicode tune. Ango, hûn dikarin di şîfreyan de karakterên Unicode bikar bînin, lê parzûn dê nexebite. Ev ne krîtîk e, ji ber ku min bikarhênerên ku şîfreyên Unicode bikar tînin nedîtine.
- Tête pêşniyar kirin ku di pelê şablonê de rê nedin xetên vala. Dûv re hûn dikarin di debugê de gava ku daneya pelê bar dikin xeletiyek bibînin. Parzûn kar dike, lê çima îstîsnayên zêde?
Ji bo verastkirinê, arşîv pelên komê dihewîne ku dihêle hûn têketinek biafirînin û dûv re wê bi kar bînin, wek nimûne,
Ev parzûna şîfreyê ji bo Windows-ê Şopandina Bûyerê bikar tîne.
Pêşkêşvanê ETW ji bo vê parzûna şîfreyê ye 07d83223-7594-4852-babc-784803fdf6c5. Ji ber vê yekê, mînakî, hûn dikarin şopandina bûyerê piştî nûvekirina jêrîn mîheng bikin:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Dê şopandin piştî nûvekirina pergalê ya din dest pê bike. Ji bo rawestandin:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Hemî van fermanan di skrîptan de têne diyar kirin StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Ji bo kontrolkirina yek carî ya operasyona fîlterê, hûn dikarin bikar bînin StartTracing.cmd и StopTracing.cmd.
Ji bo ku hûn bi rehetî derbeya debugkirina vê parzûnê tê de bixwînin Microsoft Message Analyzer Tête pêşniyar kirin ku mîhengên jêrîn bikar bînin:
Dema ku têketin û parskirinê rawestîne Microsoft Message Analyzer her tişt bi vî rengî xuya dike:
Li vir hûn dikarin bibînin ku hewldanek ji bo danîna şîfreyek ji bikarhêner re hebû - peyva sêrbaz vê yekê ji me re vedibêje DANÎN di debugê de. Û şîfre ji ber hebûna wê di pelê şablonê de û ji %30 zêdetir lihevhatina di nivîsa têketinê de hate red kirin.
Ger hewldanek serketî ya guhartina şîfreyê were çêkirin, em jêrîn dibînin:
Ji bo bikarhênerê dawî hinek nerehetî heye. Gava ku hûn hewl didin şîfreyek ku di navnîşa pelê şablonan de ye biguhezînin, dema ku polîtîkaya şîfreyê derbas nabe peyama li ser ekranê ji peyama standard cûda nabe.
Ji ber vê yekê, ji bo bang û qîrînê amade bin: "Min şîfreya rast nivîsand, lê naxebite."
Encam
Ev pirtûkxane destûrê dide te ku hûn karanîna şîfreyên hêsan an standard di nav domainek Active Directory de qedexe bikin. Em bêjin "Na!" şîfreyên wekî: "P@ssw0rd", "Qwerty123", "ADm1n098".
Erê, bê guman, bikarhêner dê ji we bêtir ji we hez bikin ji bo ku hûn bi vî rengî li ewlehiya xwe xwedî derkevin û hewcedariya peydakirina şîfreyên dilşewat bikin. Û, dibe ku, hejmara bang û daxwazên alîkariyê bi şîfreya we re zêde bibe. Lê ewlekarî bi bihayekî tê.
Girêdanên çavkaniyên bikar anîn:
Gotara Microsoft-ê di derbarê pirtûkxaneyek parzûna şîfreya xwerû de:
PassFiltEx:
Girêdana berdanê:
Lîsteyên şîfreyê:
Lîsteyên DanielMiessler:
Lîsteya peyvan ji lawazpass.com:
Lîsteya peyvan ji depoya berzerk0:
Microsoft Message Analyzer:
Source: www.habr.com