Адам өзү билгендей жалкоо жандык.
Жана андан да күчтүү сырсөздү тандоого келгенде.
Менимче, ар бир администратор жарык жана стандарттык сырсөздөрдү колдонуу көйгөйүнө туш болгон. Бул көрүнүш көп учурда компаниянын башкаруунун жогорку эшелондорунун арасында пайда болот. Ооба, ооба, купуя же коммерциялык маалыматка ээ болгондордун арасында жана сырсөздөрдүн агып кетишинин/хакердиктин жана андан аркы инциденттердин кесепеттерин жоюу өтө жагымсыз болмок.
Менин практикамда сырсөз саясаты иштетилген Active Directory доменинде бухгалтерлер өз алдынча “Pas$w0rd1234” сыяктуу сырсөз саясаттын талаптарына толук жооп берет деген ойго келген учур болгон. Натыйжада бул сырсөз бардык жерде кеңири таралган. Кээде ал өзүнүн сандары менен гана айырмаланчу.
Мен чындап эле сырсөз саясатын иштетип, символдор топтомун аныктап тим болбостон, сөздүк боюнча чыпкалай алгым келди. Мындай сырсөздөрдү колдонуу мүмкүнчүлүгүн жокко чыгаруу үчүн.
Microsoft бизге шилтеме аркылуу компиляторду, IDEди туура кармаганды жана C++ тилин туура айтууну билген ар бир адам өзүнө керектүү китепкананы чогултуп, аны өз түшүнүгүнө жараша колдоно ала тургандыгын билдирет. Буга сенин момун кулуңдун күчү жетпейт, ошондуктан мен даяр чечим издөөгө туура келди.
Узакка созулган издөөдөн кийин маселени чечүүнүн эки варианты ачыкка чыкты. Мен, албетте, OpenSource чечими жөнүндө айтып жатам. Анткени, акы төлөнүүчү параметрлер бар - башынан аягына чейин.
Вариант саны 1.
Болжол менен 2 жылдан бери эч кандай милдеттенмелер болгон жок. Жергиликтүү орнотуучу анда-санда иштейт, аны кол менен оңдоо керек. Өзүнүн өзүнчө кызматын түзөт. Сырсөз файлын жаңыртып жатканда, DLL өзгөртүлгөн мазмунду автоматтык түрдө кабыл албайт; сиз кызматты токтотуп, күтүү убактысын күтүп, файлды түзөтүп, кызматты баштооңуз керек.
Муз жок!
Вариант саны 2.
Долбоор активдүү, жандуу жана муздак денени тепкендин да кереги жок.
Чыпканы орнотуу эки файлды көчүрүү жана бир нече реестр жазууларын түзүүнү камтыйт. Сырсөз файлы кулпуда эмес, башкача айтканда, ал түзөтүү үчүн жеткиликтүү жана долбоордун авторунун ою боюнча, ал жөн гана мүнөтүнө бир жолу окулат. Ошондой эле, реестрге кошумча жазууларды колдонуу менен, сиз чыпканын өзүн да, атүгүл сырсөз саясатынын нюанстарын да конфигурациялай аласыз.
So.
Берилген: Active Directory домени test.local
Windows 8.1 сыноо жумушчу станциясы (маселенин максаты үчүн маанилүү эмес)
сырсөз чыпкасы PassFiltEx
- Акыркы релизди шилтемеден жүктөп алыңыз
- Көчүрмө PassFiltEx.dll в C: WindowsSystem32 (же %SystemRoot%System32).
Көчүрмө PassFiltExBlacklist.txt в C: WindowsSystem32 (же %SystemRoot%System32). Керек болсо өзүбүздүн шаблондор менен толуктайбыз
- Реестр бутагын түзөтүү: HKLMSYSTEMCurrentControlSetControlLsa => Эскертме пакеттери
кошуу PassFiltEx тизменин аягына чейин. (Кеңейтүүнү көрсөтүүнүн кереги жок.) Скандоо үчүн колдонулган пакеттердин толук тизмеси мындай болот "rassfm scecli PassFiltEx".
- Домен контроллерин кайра жүктөө.
- Жогорудагы процедураны бардык домен контроллерлору үчүн кайталайбыз.
Сиз ошондой эле бул чыпканы колдонууда көбүрөөк ийкемдүүлүк берген төмөнкү реестр жазууларын кошо аласыз:
Бөлүм: HKLMSOFTWAREPassFiltEx — автоматтык түрдө түзүлөт.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Демейки: PassFiltExBlacklist.txt
BlacklistFileName — сырсөз калыптары бар файлга ыңгайлаштырылган жолду көрсөтүүгө мүмкүндүк берет. Бул реестр жазуусу бош же жок болсо, анда демейки жол колдонулат, бул - %SystemRoot%System32. Тармактын жолун көрсөтсөңүз да болот, БИРОК сиз шаблон файлында окуу, жазуу, жок кылуу, өзгөртүү үчүн так уруксаттар болушу керек экенин эстен чыгарбаңыз.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Демейки: 60
TokenPercentageOfPassword — жаңы паролдогу масканын пайызын көрсөтүүгө мүмкүндүк берет. Демейки маани - 60%. Мисалы, эгерде пайда болуу пайызы 60 болсо жана сап starwars шаблон файлында болсо, анда сырсөз Star Wars1! сырсөз жатканда четке кагылат Star Wars1!DarthVader88 кабыл алынат, анткени сырсөздөгү саптын пайызы 60% дан аз
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Демейки: 0
RequireCharClasses — стандарттуу ActiveDirectory сырсөз татаалдыгына талаптарга салыштырмалуу сырсөз талаптарын кеңейтүүгө мүмкүндүк берет. Орнотулган татаалдык талаптары 3 мүмкүн болгон ар кандай белгилердин үчөөнү талап кылат: чоң тамга, кичине тамга, сандык, атайын жана Юникод. Бул реестрдеги жазууну колдонуу менен сиз сырсөзүңүздүн татаалдыгына талаптарды коё аласыз. Көрсөтүлүшү мүмкүн болгон маани биттердин жыйындысы болуп саналат, алардын ар бири экиден тиешелүү күчкө ээ.
Башкача айтканда, 1 = кичине тамга, 2 = чоң тамга, 4 = цифра, 8 = өзгөчө белги жана 16 = Юникод символу.
Ошентип, 7 мааниси менен талаптар "Башкы тамга" болот ЖАНА кичине тамга ЖАНА цифра”, ал эми 31 мааниси менен - “Башкы тамга ЖАНА төмөнкү тамга ЖАНА көрсөткүч ЖАНА өзгөчө белги ЖАНА Юникод белгиси."
Сиз да айкалыштыра аласыз - 19 = "Жогорку тамга ЖАНА төмөнкү тамга ЖАНА Юникод белгиси." -
Калып файлын түзүүдө бир катар эрежелер:
- Калыптар чоң тамгаларды сезбейт. Демек, файлдын кириши жылдыздар и StarWarS бирдей мааниге ээ экендиги аныкталат.
- Кара тизме файлы ар бир 60 секунд сайын кайра окулат, андыктан аны оңой эле түзөтө аласыз; бир мүнөттөн кийин жаңы маалыматтар чыпка тарабынан колдонулат.
- Учурда Юникод үлгүсүн дал келтирүү үчүн колдоо жок. Башкача айтканда, сырсөздө Юникод символдорун колдонсоңуз болот, бирок чыпка иштебейт. Бул маанилүү эмес, анткени мен Юникод сырсөздөрүн колдонгон колдонуучуларды көргөн жокмун.
- Калып файлында бош саптарга жол бербөө сунушталат. Мүчүлүштүктөрдү оңдоодо сиз файлдан маалыматтарды жүктөөдө катаны көрө аласыз. Чыпка иштейт, бирок эмне үчүн кошумча өзгөчөлүктөр?
Мүчүлүштүктөрдү оңдоо үчүн архивде лог түзүүгө жана андан кийин аны талдоо жүргүзүүгө мүмкүндүк берген пакеттик файлдар бар, мисалы,
Бул сырсөз чыпкасы Windows үчүн Event Tracing колдонот.
Бул сырсөз чыпкасы үчүн ETW камсыздоочу болуп саналат 07d83223-7594-4852-babc-784803fdf6c5. Ошентип, мисалы, сиз төмөнкү кайра жүктөөдөн кийин окуяга көз салууну конфигурациялай аласыз:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Издөө тутум кийинки кайра жүктөлгөндөн кийин башталат. Токтотуу:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Бул буйруктардын баары скрипттерде көрсөтүлгөн StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
чыпка ишин бир жолку текшерүү үчүн, сиз колдоно аласыз StartTracing.cmd и StopTracing.cmd.
Бул чыпкадагы мүчүлүштүктөрдү оңдоону ыңгайлуу окуу үчүн Microsoft сүйлөшүү анализатор Төмөнкү орнотууларды колдонуу сунушталат:
Кирүүнү жана талдоону токтоткондо Microsoft сүйлөшүү анализатор баары мындай көрүнөт:
Бул жерде сиз колдонуучу үчүн сырсөз коюу аракети болгонун көрө аласыз - сыйкырдуу сөз муну бизге айтып берет SET мүчүлүштүктөрдү оңдоодо. Ал эми сырсөз шаблон файлында бар болгондуктан жана киргизилген текстте 30%дан ашык дал келгендиктен четке кагылды.
Эгер сырсөздү ийгиликтүү өзгөртүү аракети жасалса, биз төмөнкүлөрдү көрөбүз:
Акыркы колдонуучу үчүн бир аз ыңгайсыздыктар бар. Калыптар файлынын тизмесине киргизилген сырсөздү өзгөртүүгө аракет кылганыңызда, экрандагы билдирүү сырсөз саясаты өтпөгөндө стандарттык билдирүүдөн айырмаланбайт.
Ошондуктан, чалууларга жана кыйкырыктарга даяр болуңуз: "Мен сырсөздү туура киргиздим, бирок ал иштебейт."
Жыйынтык.
Бул китепкана Active Directory доменинде жөнөкөй же стандарттык сырсөздөрдү колдонууга тыюу салууга мүмкүндүк берет. «Жок!» дейли. сырсөздөр сыяктуу: "P@ssw0rd", "Qwerty123", "ADm1n098".
Ооба, албетте, колдонуучулар өздөрүнүн коопсуздугуна кам көрүп, акылга сыйбаган сырсөздөрдү ойлоп табуу зарылдыгы үчүн сизди ого бетер жакшы көрүшөт. Жана, балким, чалуулар жана сырсөзүңүз боюнча жардам сурап кайрылгандардын саны көбөйөт. Бирок коопсуздук өз баасы менен келет.
Колдонулган ресурстарга шилтемелер:
Ыңгайлаштырылган сырсөз чыпкасы китепканасына байланыштуу Microsoft макаласы:
PassFiltEx:
Чыгаруу шилтемеси:
Сырсөз тизмелери:
DanielMiessler тизмеси:
zayıfpass.com сайтынан Wordlist:
berzerk0 реподон алынган сөз тизмеси:
Microsoft Message Analyzer:
Source: www.habr.com