De Mënsch, wéi Dir wësst, ass eng faul Kreatur.
An nach méi wann et drëm geet e staarkt Passwuert ze wielen.
Ech denken, datt all Administrateur jeemools de Problem konfrontéiert huet, liicht a Standard Passwierder ze benotzen. Dëst Phänomen geschitt dacks ënner den ieweschten Echelons vun der Gesellschaftsmanagement. Jo, jo, genee bei deenen, déi Zougang zu geheimen oder kommerziellen Informatiounen hunn an et wier extrem onerwënscht, d'Konsequenze vu Passwuertleaks/Hacking a weideren Tëschefäll ze eliminéieren.
A menger Praxis gouf et e Fall wou, an engem Active Directory Domain mat enger Passwuertpolitik aktivéiert, Comptabelen onofhängeg op d'Iddi komm sinn datt e Passwuert wéi "Pas$w0rd1234" perfekt un d'Politikfuerderunge passt. D'Konsequenz war déi verbreet Notzung vun dësem Passwuert iwwerall. Heiansdo ënnerscheet hien nëmmen a sengem Set vun Zuelen.
Ech wollt wierklech fäeg sinn net nëmmen eng Passwuertpolitik z'aktivéieren an e Charakterset ze definéieren, mee och duerch Wierderbuch ze filteren. Fir d'Méiglechkeet auszeschléissen esou Passwierder ze benotzen.
Microsoft informéiert eis frëndlech iwwer de Link, datt jiddereen, dee weess wéi een e Compiler, IDE richteg an den Hänn hält a weess wéi C++ richteg ausgeschwat gëtt, fäeg ass d'Bibliothéik ze kompiléieren déi se brauchen an se no hirem eegene Verständnis benotzen. Däin bescheidenen Knecht ass dozou net kapabel, also hunn ech missen no enger fäerdeger Léisung sichen.
No enger laanger Stonn Sich goufen zwou Méiglechkeete fir de Problem ze léisen opgedeckt. Ech schwätzen natierlech vun der OpenSource Léisung. No all, ginn et bezuelt Optiounen - vun Ufank bis Enn.
Optioun Nummer 1.
Zënter ongeféier 2 Joer sinn et keng Verpflichtungen.Den gebiertege Installateur fonctionnéiert all Kéier, Dir musst et manuell korrigéieren. Erstellt säin eegene separaten Service. Wann Dir e Passwuertdatei aktualiséiert, hëlt d'DLL den geännerten Inhalt net automatesch op; Dir musst de Service stoppen, en Timeout waarden, d'Datei änneren an de Service starten.
Keen Eis!
Optioun Nummer 2.
De Projet ass aktiv, lieweg an et ass net néideg fir emol de kale Kierper ze schéissen.
D'Installatioun vum Filter beinhalt d'Kopie vun zwee Dateien a erstellt verschidde Registry-Entréen. D'Passwuertdatei ass net gespaart, dat heescht, et ass verfügbar fir z'änneren an no der Iddi vum Auteur vum Projet gëtt se einfach eemol d'Minutt gelies. Och, andeems Dir zousätzlech Registry-Entréen benotzt, kënnt Dir weider souwuel de Filter selwer a souguer d'Nuancen vun der Passwuertpolitik konfiguréieren.
Bon, dann.
Gitt: Active Directory Domain test.local
Windows 8.1 Test Workstation (net wichteg fir den Zweck vum Problem)
Passwuertfilter PassFiltEx
- Luet déi lescht Verëffentlechung vum Link erof
- Kopie PassFiltEx.dll в C: WindowsSystem32 (oder %SystemRoot%System32).
Kopie PassFiltExBlacklist.txt в C: WindowsSystem32 (oder %SystemRoot%System32). Wann néideg, ergänzen mir et mat eisen eegene Templates
- Änneren vun der Registry Branche: HKLMSYSTEM CurrentControlSetControlLsa => Notifikatioun Packagen
Füügt PassFiltEx bis zum Enn vun der Lëscht. (D'Erweiderung muss net spezifizéiert ginn.) Déi komplett Lëscht vun de Pakete fir ze scannen gesäit esou aus "rassfm scecli PassFiltEx".
- Restart den Domain Controller.
- Mir widderhuelen déi uewe genannte Prozedur fir all Domain Controller.
Dir kënnt och déi folgend Registry-Entréen addéieren, wat Iech méi Flexibilitéit beim Gebrauch vun dësem Filter gëtt:
Sektioun: HKLMSOFTWAREPassFiltEx - gëtt automatesch erstallt.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName - erlaabt Iech e personaliséierte Wee fir eng Datei mat Passwuert Templates ze spezifizéieren. Wann dës Registry Entrée eidel ass oder net existéiert, da gëtt de Standardwee benotzt, dat ass - %SystemRoot%System32. Dir kënnt souguer en Netzwee spezifizéieren, MEE Dir musst drun erënneren datt d'Schabloundatei kloer Permissiounen muss hunn fir ze liesen, ze schreiwen, ze läschen, z'änneren.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Standard: 60
TokenPercentageOfPassword - erlaabt Iech de Prozentsaz vun der Mask am neie Passwuert ze spezifizéieren. De Standardwäert ass 60%. Zum Beispill, wann de Prozentsaz Optriede 60 ass an de String Starwars an der Schabloundatei ass, dann ass d'Passwuert Starwars 1! wäert refuséiert ginn iwwerdeems d'Passwuert starwars1!DarthVader88 gëtt ugeholl well de Prozentsaz vun der String am Passwuert manner wéi 60% ass
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Standard: 0
RequireCharClasses - erlaabt Iech d'Passwuertfuerderunge verglach mat de Standard ActiveDirectory Passwuert Komplexitéit Ufuerderunge auszebauen. Déi agebaute Komplexitéit Ufuerderunge erfuerderen 3 vun de 5 méigleche verschidden Aarte vu Charaktere: Grouss, Kleng, Ziffer, Special, an Unicode. Mat dësem Registry Entrée kënnt Dir Är Passwuert Komplexitéit Ufuerderunge setzen. De Wäert dee spezifizéiert ka ginn ass e Set vu Bits, jidderee vun deenen eng entspriechend Kraaft vun zwee ass.
Dat ass, 1 = kleng Buschtawen, 2 = grouss Buschtawen, 4 = Ziffer, 8 = speziell Charakter, an 16 = Unicode Charakter.
Also mat engem Wäert vu 7 wieren d'Ufuerderunge "Upper Case" AN kleng Buschtawen AN Ziffer", a mat engem Wäert vun 31 - "Upper case AN ënneschten Fall AN Zifferen AN speziell Symbol AN Unicode Charakter."
Dir kënnt souguer kombinéieren - 19 = "Upper case AN ënneschten Fall AN Unicode Charakter." -
Eng Zuel vu Regelen wann Dir eng Schabloundatei erstellt:
- Schabloune sinn case-onsensibel. Dofir ass de Fichier Entrée Stär Kricher и StarWarS wäert de selwechte Wäert bestëmmt ginn.
- D'Schwaarzlëscht Datei gëtt all 60 Sekonnen nei gelies, sou datt Dir se einfach z'änneren kënnt; no enger Minutt ginn déi nei Donnéeë vum Filter benotzt.
- Et gëtt momentan keng Unicode Ënnerstëtzung fir Muster Matching. Dat ass, Dir kënnt Unicode Zeechen a Passwierder benotzen, awer de Filter funktionnéiert net. Dëst ass net kritesch, well ech keng Benotzer gesinn hunn déi Unicode Passwierder benotzen.
- Et ass unzeroden net eidel Zeilen an der Schabloundatei z'erméiglechen. Am Debug kënnt Dir dann e Feeler gesinn wann Dir Daten aus enger Datei lued. De Filter funktionnéiert, awer firwat déi extra Ausnahmen?
Fir Debugging enthält d'Archiv Batchdateien déi Iech erlaaben e Log ze kreéieren an duerno ze analyséieren andeems Dir z.B.
Dëse Passwuertfilter benotzt Event Tracing fir Windows.
Den ETW Provider fir dëse Passwuertfilter ass 07d83223-7594-4852-babc-784803fdf6c5. Also, zum Beispill, kënnt Dir Event Tracing no der folgender Restart konfiguréieren:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Tracing fänkt nom nächste System Restart un. Fir ze stoppen:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
All dës Befehle ginn an de Skripte spezifizéiert StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Fir eng eemoleg Kontroll vun der Filteroperatioun, kënnt Dir benotzen StartTracing.cmd и StopTracing.cmd.
Fir bequem den Debug Auspuff vun dësem Filter ze liesen Microsoft Message Analyzer Et ass recommandéiert déi folgend Astellungen ze benotzen:
Wann Dir stoppt aloggen an ze analyséieren Microsoft Message Analyzer alles gesäit sou aus:
Hei kënnt Dir gesinn datt et e Versuch gouf fir e Passwuert fir de Benotzer ze setzen - d'Magiewuert seet eis dat SET am Debug. An d'Passwuert gouf refuséiert wéinst senger Präsenz an der Schabloundatei a méi wéi 30% Match am aginnen Text.
Wann en erfollegräiche Passwuert änneren Versuch gemaach gëtt, gesi mir déi folgend:
Et gëtt e puer Nodeel fir den Endbenotzer. Wann Dir probéiert e Passwuert z'änneren dat an der Lëscht vun de Schabloundatei abegraff ass, ass de Message um Écran net anescht wéi de Standard Message wann d'Passwuertpolitik net passéiert ass.
Dofir, bereet Iech op Uruff a Gejäiz: "Ech hunn d'Passwuert richteg aginn, awer et funktionnéiert net."
D 'Resultat.
Dës Bibliothéik erlaabt Iech d'Benotzung vun einfachen oder Standard Passwierder an engem Active Directory Domain ze verbidden. Loosst eis soen "Nee!" Passwierder wéi: "P@ssw0rd", "Qwerty123", "ADm1n098".
Jo, natierlech, d'Benotzer wäerten dech nach méi gär hunn fir sou hir Sécherheet ze këmmeren an d'Noutwennegkeet mat aussergewéinleche Passwierder ze kommen. A vläicht wäert d'Zuel vun Uriff an Ufroe fir Hëllef mat Ärem Passwuert eropgoen. Awer Sécherheet kënnt zu engem Präis.
Linken op benotzte Ressourcen:
Microsoft Artikel iwwer eng personaliséiert Passwuertfilterbibliothéik:
PassFiltEx:
Verëffentlechungslink:
Passwuert Lëschte:
DanielMiessler Lëschte:
Wierderlëscht vun weakpass.com:
Wuertlëscht vum berzerk0 repo:
Microsoft Message Analyser:
Source: will.com