KÄ aizliegt standarta paroles un likt visiem tevi ienÄ«st
CilvÄks, kÄ zinÄms, ir slinks radÄ«jums.
Un vÄl jo vairÄk, ja runa ir par spÄcÄ«gas paroles izvÄli.
Es domÄju, ka katrs administrators kÄdreiz ir saskÄries ar vieglo un standarta paroļu lietoÅ”anas problÄmu. Å Ä« parÄdÄ«ba bieži sastopama uzÅÄmuma vadÄ«bas augstÄkajos eÅ”elonos. JÄ, jÄ, tieÅ”i starp tiem, kuriem ir pieejama slepena vai komerciÄla informÄcija un bÅ«tu ÄrkÄrtÄ«gi nevÄlami likvidÄt paroļu noplÅ«des/uzlauÅ”anas un turpmÄko incidentu sekas.
ManÄ praksÄ bija gadÄ«jums, kad Active Directory domÄnÄ ar iespÄjotu paroles politiku grÄmatveži neatkarÄ«gi nonÄca pie domas, ka tÄda parole kÄ āPas$w0rd1234ā lieliski atbilst politikas prasÄ«bÄm. Sekas bija Ŕīs paroles plaÅ”a izmantoÅ”ana visur. Dažreiz viÅÅ” atŔķīrÄs tikai ar savu skaitļu komplektu.
Es ļoti vÄlÄjos ne tikai iespÄjot paroles politiku un definÄt rakstzÄ«mju kopu, bet arÄ« filtrÄt pÄc vÄrdnÄ«cas. Lai izslÄgtu iespÄju izmantot Å”Ädas paroles.
Microsoft ar saiti laipni informÄ, ka ikviens, kurÅ” prot pareizi turÄt rokÄs kompilatoru, IDE un prot pareizi izrunÄt C++, spÄj sastÄdÄ«t sev nepiecieÅ”amo bibliotÄku un izmantot to pÄc savas izpratnes. JÅ«su pazemÄ«gais kalps uz to nav spÄjÄ«gs, tÄpÄc man nÄcÄs meklÄt gatavu risinÄjumu.
PÄc ilgas meklÄÅ”anas stundas atklÄjÄs divi problÄmas risinÄÅ”anas varianti. Es, protams, runÄju par OpenSource risinÄjumu. Galu galÄ ir maksas iespÄjas - no sÄkuma lÄ«dz beigÄm.
ApmÄram 2 gadus nav veiktas nekÄdas saistÄ«bas. VietÄjais instalÄtÄjs Å”ad un tad darbojas, jums tas ir jÄlabo manuÄli. Izveido savu atseviŔķu pakalpojumu. Atjauninot paroles failu, DLL automÄtiski neuztver mainÄ«to saturu; jums ir jÄpÄrtrauc pakalpojums, jÄuzgaida taimauts, jÄrediÄ£Ä fails un jÄsÄk pakalpojums.
Projekts ir aktÄ«vs, dzÄ«vs un nevajag pat spÄrdÄ«t aukstu Ä·ermeni.
Filtra instalÄÅ”ana ietver divu failu kopÄÅ”anu un vairÄku reÄ£istra ierakstu izveidi. Paroles fails neatrodas slÄdzenÄ, tas ir, tas ir pieejams rediÄ£ÄÅ”anai un, saskaÅÄ ar projekta autora ideju, tas tiek vienkÄrÅ”i lasÄ«ts reizi minÅ«tÄ. TÄpat, izmantojot papildu reÄ£istra ierakstus, varat tÄlÄk konfigurÄt gan paÅ”u filtru, gan pat paroles politikas nianses.
TÄtad.
Dots: Active Directory domÄns test.local
Windows 8.1 testa darbstacija (nav svarÄ«ga problÄmas risinÄjumam)
paroles filtrs PassFiltEx
LejupielÄdÄjiet jaunÄko versiju no saites PassFiltEx
KopÄt PassFiltEx.dll Š² C: WindowsSystem32 (Vai %SystemRoot%System32).
KopÄt PassFiltExBlacklist.txt Š² C: WindowsSystem32 (Vai %SystemRoot%System32). Ja nepiecieÅ”ams, papildinÄm to ar savÄm veidnÄm
ReÄ£istra filiÄles rediÄ£ÄÅ”ana: HKLMSYSTEMCurrentControlSetControlLsa => PaziÅojumu paketes
Pievienot PassFiltEx lÄ«dz saraksta beigÄm. (PaplaÅ”inÄjums nav jÄnorÄda.) Pilns skenÄÅ”anai izmantoto pakotÅu saraksts izskatÄ«sies Å”Ädi "rassfm scecli PassFiltEx".
AtsÄknÄjiet domÄna kontrolleri.
MÄs atkÄrtojam iepriekÅ” minÄto procedÅ«ru visiem domÄna kontrolleriem.
BlacklistFileName ā ļauj norÄdÄ«t pielÄgotu ceļu uz failu ar paroles veidnÄm. Ja Å”is reÄ£istra ieraksts ir tukÅ”s vai neeksistÄ, tiek izmantots noklusÄjuma ceļŔ, kas ir - %SystemRoot%System32. JÅ«s pat varat norÄdÄ«t tÄ«kla ceļu, BET jums jÄatceras, ka veidnes failam ir jÄbÅ«t skaidrÄm atļaujÄm lasÄ«t, rakstÄ«t, dzÄst, mainÄ«t.
TokenPercentageOfPassword ā ļauj norÄdÄ«t maskas procentuÄlo daudzumu jaunajÄ parolÄ. NoklusÄjuma vÄrtÄ«ba ir 60%. PiemÄram, ja gadÄ«juma procentuÄlais daudzums ir 60 un veidnes failÄ ir virkne starwars, tad parole Starwars1! parole tiks noraidÄ«ta starwars1!DarthVader88 tiks pieÅemts, jo paroles virknes procentuÄlÄ daļa ir mazÄka par 60%
RequireCharClasses ā ļauj paplaÅ”inÄt paroles prasÄ«bas salÄ«dzinÄjumÄ ar standarta ActiveDirectory paroles sarežģītÄ«bas prasÄ«bÄm. IebÅ«vÄtÄs sarežģītÄ«bas prasÄ«bÄm ir nepiecieÅ”amas 3 no 5 iespÄjamajiem dažÄdo veidu rakstzÄ«mÄm: lielie burti, mazie burti, cipars, Ä«paÅ”ais un unikods. Izmantojot Å”o reÄ£istra ierakstu, varat iestatÄ«t paroles sarežģītÄ«bas prasÄ«bas. VÄrtÄ«ba, ko var norÄdÄ«t, ir bitu kopa, no kuriem katrs ir atbilstoÅ”s divu pakÄpju.
Tas ir, 1 = mazie burti, 2 = lielie burti, 4 = cipars, 8 = speciÄlÄ rakstzÄ«me un 16 = unikoda rakstzÄ«me.
TÄtad ar vÄrtÄ«bu 7 prasÄ«bas bÅ«tu ālielie burtiā. UN mazie burti UN ciparsā un ar vÄrtÄ«bu 31 - āLielie burti UN mazie burti UN cipars UN Ä«paÅ”s simbols UN Unikoda rakstzÄ«me."
JÅ«s pat varat kombinÄt - 19 = āLielais burts UN mazie burti UN Unikoda rakstzÄ«me."
Veidojot veidnes failu, jÄievÄro vairÄki noteikumi:
Veidnes nav reÄ£istrjutÄ«gas. TÄpÄc faila ieraksts zvaigžÅu kari Šø ZvaigžÅu kari tiks noteikta kÄ tÄda pati vÄrtÄ«ba.
MelnÄ saraksta fails tiek atkÄrtoti lasÄ«ts ik pÄc 60 sekundÄm, lai jÅ«s to varÄtu viegli rediÄ£Ät; pÄc minÅ«tes jaunos datus izmantos filtrs.
PaÅ”laik nav unikoda atbalsta paraugu saskaÅoÅ”anai. Tas ir, parolÄs varat izmantot unikoda rakstzÄ«mes, taÄu filtrs nedarbosies. Tas nav kritiski, jo es neesmu redzÄjis lietotÄjus, kuri izmanto Unicode paroles.
Veidnes failÄ vÄlams neatļaut tukÅ”as rindas. PÄc tam atkļūdoÅ”anas laikÄ varat redzÄt kļūdu, ielÄdÄjot datus no faila. Filtrs darbojas, bet kÄpÄc papildu izÅÄmumi?
AtkļūdoÅ”anai arhÄ«vÄ ir pakeÅ”faili, kas ļauj izveidot žurnÄlu un pÄc tam to parsÄt, izmantojot, piemÄram, Microsoft ziÅojumu analizators.
Å is paroles filtrs izmanto notikumu izsekoÅ”anu operÄtÄjsistÄmai Windows.
Å Ä« paroles filtra ETW nodroÅ”inÄtÄjs ir 07d83223-7594-4852-babc-784803fdf6c5. PiemÄram, notikumu izsekoÅ”anu varat konfigurÄt pÄc Å”Ädas atsÄknÄÅ”anas: logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
IzsekoÅ”ana sÄksies pÄc nÄkamÄs sistÄmas atsÄknÄÅ”anas. ApstÄties: logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Visas Ŕīs komandas ir norÄdÄ«tas skriptos StartTracingAtBoot.cmd Šø StopTracingAtBoot.cmd.
VienreizÄjai filtra darbÄ«bas pÄrbaudei varat izmantot StartTracing.cmd Šø StopTracing.cmd.
Lai Ärti nolasÄ«tu Ŕī filtra atkļūdoÅ”anas izplÅ«des datus Microsoft ziÅu analizators Ieteicams izmantot Å”Ädus iestatÄ«jumus:
PÄrtraucot reÄ£istrÄÅ”anos un parsÄÅ”anu Microsoft ziÅu analizators viss izskatÄs apmÄram Å”Ädi:
Å eit jÅ«s varat redzÄt, ka lietotÄjam tika mÄÄ£inÄts iestatÄ«t paroli - burvju vÄrds mums to saka SET atkļūdoÅ”anÄ. Un parole tika noraidÄ«ta, jo tÄ bija veidnes failÄ un vairÄk nekÄ 30% atbilst ievadÄ«tajam tekstam.
Ja tiek veikts veiksmÄ«gs paroles maiÅas mÄÄ£inÄjums, mÄs redzam sekojoÅ”o:
GalalietotÄjam ir dažas neÄrtÄ«bas. MÄÄ£inot mainÄ«t paroli, kas ir iekļauta veidÅu faila sarakstÄ, ekrÄnÄ redzamais ziÅojums neatŔķiras no standarta ziÅojuma, ja paroles politika netiek nodota.
TÄpÄc esiet gatavs zvaniem un saucieniem: "Es ievadÄ«ju paroli pareizi, bet tÄ nedarbojas."
Kopsavilkums.
Å Ä« bibliotÄka ļauj aizliegt vienkÄrÅ”u vai standarta paroļu izmantoÅ”anu Active Directory domÄnÄ. Teiksim "nÄ!" paroles, piemÄram: "P@ssw0rd", "Qwerty123", "ADm1n098".
JÄ, protams, lietotÄji jÅ«s vÄl vairÄk iemÄ«lÄs par to, ka rÅ«pÄjaties par savu droŔību un nepiecieÅ”amÄ«bu izdomÄt prÄtam neaptveramas paroles. Un, iespÄjams, palielinÄsies zvanu un palÄ«dzÄ«bas pieprasÄ«jumu skaits ar paroli. Bet droŔībai ir sava cena.