Kā aizliegt standarta paroles un likt visiem tevi ienīst

Cilvēks, kā zināms, ir slinks radījums.
Un vēl jo vairāk, ja runa ir par spēcīgas paroles izvēli.

Es domāju, ka katrs administrators kādreiz ir saskāries ar vieglo un standarta paroļu lietošanas problēmu. Šī parādība bieži sastopama uzņēmuma vadības augstākajos ešelonos. Jā, jā, tieši starp tiem, kuriem ir pieejama slepena vai komerciāla informācija un būtu ārkārtīgi nevēlami likvidēt paroļu noplūdes/uzlaušanas un turpmāko incidentu sekas.

Manā praksē bija gadījums, kad Active Directory domēnā ar iespējotu paroles politiku grāmatveži neatkarīgi nonāca pie domas, ka tāda parole kā “Pas$w0rd1234” lieliski atbilst politikas prasībām. Sekas bija šīs paroles plaša izmantošana visur. Dažreiz viņš atšķīrās tikai ar savu skaitļu komplektu.

Es ļoti vēlējos ne tikai iespējot paroles politiku un definēt rakstzīmju kopu, bet arī filtrēt pēc vārdnīcas. Lai izslēgtu iespēju izmantot šādas paroles.

Microsoft ar saiti laipni informē, ka ikviens, kurš prot pareizi turēt rokās kompilatoru, IDE un prot pareizi izrunāt C++, spēj sastādīt sev nepieciešamo bibliotēku un izmantot to pēc savas izpratnes. Jūsu pazemīgais kalps uz to nav spējīgs, tāpēc man nācās meklēt gatavu risinājumu.

Pēc ilgas meklēšanas stundas atklājās divi problēmas risināšanas varianti. Es, protams, runāju par OpenSource risinājumu. Galu galā ir maksas iespējas - no sākuma līdz beigām.

Opcijas numurs 1. OpenPasswordFilter

Apmēram 2 gadus nav veiktas nekādas saistības. Vietējais instalētājs šad un tad darbojas, jums tas ir jālabo manuāli. Izveido savu atsevišķu pakalpojumu. Atjauninot paroles failu, DLL automātiski neuztver mainīto saturu; jums ir jāpārtrauc pakalpojums, jāuzgaida taimauts, jārediģē fails un jāsāk pakalpojums.

Nav ledus!

Opcijas numurs 2. PassFiltEx

Projekts ir aktīvs, dzīvs un nevajag pat spārdīt aukstu ķermeni.
Filtra instalēšana ietver divu failu kopēšanu un vairāku reģistra ierakstu izveidi. Paroles fails neatrodas slēdzenē, tas ir, tas ir pieejams rediģēšanai un, saskaņā ar projekta autora ideju, tas tiek vienkārši lasīts reizi minūtē. Tāpat, izmantojot papildu reģistra ierakstus, varat tālāk konfigurēt gan pašu filtru, gan pat paroles politikas nianses.

Tātad.
Dots: Active Directory domēns test.local
Windows 8.1 testa darbstacija (nav svarīga problēmas risinājumam)
paroles filtrs PassFiltEx

• Lejupielādējiet jaunāko versiju no saites PassFiltEx
• Kopēt PassFiltEx.dll в C: WindowsSystem32 (Vai %SystemRoot%System32).
  Kopēt PassFiltExBlacklist.txt в C: WindowsSystem32 (Vai %SystemRoot%System32). Ja nepieciešams, papildinām to ar savām veidnēm
  
• Reģistra filiāles rediģēšana: HKLMSYSTEMCurrentControlSetControlLsa => Paziņojumu paketes
  Pievienot PassFiltEx līdz saraksta beigām. (Paplašinājums nav jānorāda.) Pilns skenēšanai izmantoto pakotņu saraksts izskatīsies šādi "rassfm scecli PassFiltEx".
  
• Atsāknējiet domēna kontrolleri.
• Mēs atkārtojam iepriekš minēto procedūru visiem domēna kontrolleriem.

Varat arī pievienot šādus reģistra ierakstus, kas nodrošina lielāku elastību šī filtra lietošanā:

nodaļa: HKLMSOFTWAREPassFiltEx — tiek izveidots automātiski.

• HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Noklusējums: PassFiltExBlacklist.txt

  BlacklistFileName — ļauj norādīt pielāgotu ceļu uz failu ar paroles veidnēm. Ja šis reģistra ieraksts ir tukšs vai neeksistē, tiek izmantots noklusējuma ceļš, kas ir - %SystemRoot%System32. Jūs pat varat norādīt tīkla ceļu, BET jums jāatceras, ka veidnes failam ir jābūt skaidrām atļaujām lasīt, rakstīt, dzēst, mainīt.

• HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Noklusējums: 60

  TokenPercentageOfPassword — ļauj norādīt maskas procentuālo daudzumu jaunajā parolē. Noklusējuma vērtība ir 60%. Piemēram, ja gadījuma procentuālais daudzums ir 60 un veidnes failā ir virkne starwars, tad parole Starwars1! parole tiks noraidīta starwars1!DarthVader88 tiks pieņemts, jo paroles virknes procentuālā daļa ir mazāka par 60%

• HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Noklusējums: 0

  RequireCharClasses — ļauj paplašināt paroles prasības salīdzinājumā ar standarta ActiveDirectory paroles sarežģītības prasībām. Iebūvētās sarežģītības prasībām ir nepieciešamas 3 no 5 iespējamajiem dažādo veidu rakstzīmēm: lielie burti, mazie burti, cipars, īpašais un unikods. Izmantojot šo reģistra ierakstu, varat iestatīt paroles sarežģītības prasības. Vērtība, ko var norādīt, ir bitu kopa, no kuriem katrs ir atbilstošs divu pakāpju.
  Tas ir, 1 = mazie burti, 2 = lielie burti, 4 = cipars, 8 = speciālā rakstzīme un 16 = unikoda rakstzīme.
  Tātad ar vērtību 7 prasības būtu “lielie burti”. UN mazie burti UN cipars” un ar vērtību 31 - “Lielie burti UN mazie burti UN cipars UN īpašs simbols UN Unikoda rakstzīme."
  Jūs pat varat kombinēt - 19 = “Lielais burts UN mazie burti UN Unikoda rakstzīme."

• 

Veidojot veidnes failu, jāievēro vairāki noteikumi:

• Veidnes nav reģistrjutīgas. Tāpēc faila ieraksts zvaigžņu kari и Zvaigžņu kari tiks noteikta kā tāda pati vērtība.
• Melnā saraksta fails tiek atkārtoti lasīts ik pēc 60 sekundēm, lai jūs to varētu viegli rediģēt; pēc minūtes jaunos datus izmantos filtrs.
• Pašlaik nav unikoda atbalsta paraugu saskaņošanai. Tas ir, parolēs varat izmantot unikoda rakstzīmes, taču filtrs nedarbosies. Tas nav kritiski, jo es neesmu redzējis lietotājus, kuri izmanto Unicode paroles.
• Veidnes failā vēlams neatļaut tukšas rindas. Pēc tam atkļūdošanas laikā varat redzēt kļūdu, ielādējot datus no faila. Filtrs darbojas, bet kāpēc papildu izņēmumi?

Atkļūdošanai arhīvā ir pakešfaili, kas ļauj izveidot žurnālu un pēc tam to parsēt, izmantojot, piemēram, Microsoft ziņojumu analizators.
Šis paroles filtrs izmanto notikumu izsekošanu operētājsistēmai Windows.

Šī paroles filtra ETW nodrošinātājs ir 07d83223-7594-4852-babc-784803fdf6c5. Piemēram, notikumu izsekošanu varat konfigurēt pēc šādas atsāknēšanas:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

Izsekošana sāksies pēc nākamās sistēmas atsāknēšanas. Apstāties:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Visas šīs komandas ir norādītas skriptos StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

Vienreizējai filtra darbības pārbaudei varat izmantot StartTracing.cmd и StopTracing.cmd.
Lai ērti nolasītu šī filtra atkļūdošanas izplūdes datus Microsoft ziņu analizators Ieteicams izmantot šādus iestatījumus:

Pārtraucot reģistrēšanos un parsēšanu Microsoft ziņu analizators viss izskatās apmēram šādi:

Šeit jūs varat redzēt, ka lietotājam tika mēģināts iestatīt paroli - burvju vārds mums to saka SET atkļūdošanā. Un parole tika noraidīta, jo tā bija veidnes failā un vairāk nekā 30% atbilst ievadītajam tekstam.

Ja tiek veikts veiksmīgs paroles maiņas mēģinājums, mēs redzam sekojošo:

Galalietotājam ir dažas neērtības. Mēģinot mainīt paroli, kas ir iekļauta veidņu faila sarakstā, ekrānā redzamais ziņojums neatšķiras no standarta ziņojuma, ja paroles politika netiek nodota.

Tāpēc esiet gatavs zvaniem un saucieniem: "Es ievadīju paroli pareizi, bet tā nedarbojas."

Kopsavilkums.

Šī bibliotēka ļauj aizliegt vienkāršu vai standarta paroļu izmantošanu Active Directory domēnā. Teiksim "nē!" paroles, piemēram: "P@ssw0rd", "Qwerty123", "ADm1n098".
Jā, protams, lietotāji jūs vēl vairāk iemīlēs par to, ka rūpējaties par savu drošību un nepieciešamību izdomāt prātam neaptveramas paroles. Un, iespējams, palielināsies zvanu un palīdzības pieprasījumu skaits ar paroli. Bet drošībai ir sava cena.

Saites uz izmantotajiem resursiem:
Microsoft raksts par pielāgotu paroļu filtru bibliotēku: Paroles filtri
PassFiltEx: PassFiltEx
Izlaiduma saite: Jaunākās publikācijas
Paroļu saraksti:
DanielMiessler sarakstus: Saite.
Vārdu saraksts no gyengepass.com: Saite.
Vārdu saraksts no berzerk0 repo: Saite.
Microsoft ziņojumu analizators: Microsoft ziņojumu analizators.

Avots: www.habr.com