Ny olombelona, araka ny fantatrao, dia zavaboary kamo.
Ary vao mainka izany rehefa mifidy tenimiafina matanjaka.
Heveriko fa ny mpitantana tsirairay dia efa niatrika olana amin'ny fampiasana tenimiafina maivana sy mahazatra. Ity trangan-javatra ity dia mitranga matetika eo amin'ny sehatra ambony amin'ny fitantanana orinasa. Eny, eny, indrindra indrindra amin'ireo izay afaka mahazo vaovao miafina na ara-barotra ary tena tsy ilaina ny hanafoanana ny vokatry ny fivoahan'ny tenimiafina / fijirika sy ny tranga hafa.
Ao amin'ny fanaoko, nisy tranga iray izay, tao amin'ny sehatra Active Directory miaraka amin'ny politikan'ny tenimiafina navela, ny kaonty tsy miankina dia tonga tamin'ny hevitra fa ny tenimiafina toy ny "Pas$w0rd1234" dia mifanaraka tsara amin'ny fepetra takian'ny politika. Ny vokatr'izany dia ny fiparitahan'ity tenimiafina ity na aiza na aiza. Indraindray izy dia tsy mitovy afa-tsy amin'ny andiana isany.
Tena naniry aho ny tsy hamela ny politikan'ny tenimiafina sy hamaritana andian-toetra, fa koa hanivana amin'ny rakibolana. Mba hanilihana ny fahafahana mampiasa tenimiafina toy izany.
Mampahafantatra antsika amin-katsaram-panahy i Microsoft amin'ny alalan'ny rohy fa izay rehetra mahay mitana compiler, IDE tsara eny an-tanany ary mahay manonona C++ tsara, dia afaka manangona ny tranomboky ilainy ary mampiasa izany araka ny fahatakarany azy. Tsy mahavita izany ny mpanomponao manetry tena, ka tsy maintsy nitady vahaolana vonona aho.
Taorian'ny ora naharitra nikarohana dia hita ny safidy roa hamahana ny olana. Mazava ho azy fa miresaka momba ny vahaolana OpenSource aho. Rehefa dinihina tokoa, misy safidy karama - manomboka amin`ny voalohany ka hatramin`ny farany.
Safidy isa 1.
Efa 2 taona teo ho eo izao no tsy nisy commit. Ny installer native dia miasa tsindraindray, tsy maintsy manitsy azy amin'ny tanana ianao. Mamorona serivisy manokana. Rehefa manavao ny rakitra tenimiafina, ny DLL dia tsy maka ho azy ny votoaty niova; mila atsahatra ny serivisy ianao, miandry fe-potoana, manova ny rakitra ary manomboka ny serivisy.
Tsy misy gilasy!
Safidy isa 2.
Ny tetikasa dia mavitrika, velona ary tsy ilaina ny mandaka ny vatana mangatsiaka.
Ny fametrahana ny sivana dia mitaky ny kopia rakitra roa ary mamorona entries rejisitra maromaro. Ny rakitra tenimiafina dia tsy ao anaty hidin-trano, izany hoe azo ovaina ary, araka ny hevitr'ilay mpanoratra ny tetikasa, dia vakiana indray mandeha isan-minitra. Ary koa, amin'ny fampiasana fidirana amin'ny rejisitra fanampiny, azonao atao ny manitsy bebe kokoa ny sivana ary na dia ny nuances amin'ny politikan'ny tenimiafina aza.
Eny àry.
Omena: Active Directory domain test.local
Windows 8.1 test workstation (tsy zava-dehibe amin'ny tanjon'ny olana)
sivana tenimiafina PassFiltEx
- Ampidino ny famoahana farany avy amin'ny rohy
- dika mitovy PassFiltEx.dll в C: WindowsSystem32 (na %SystemRoot%System32).
dika mitovy PassFiltExBlacklist.txt в C: WindowsSystem32 (na %SystemRoot%System32). Raha ilaina, dia ampianay amin'ny modely manokana izany
- Fanovana ny sampana rejistra: HKLMSYSTEMCurrentControlSetControlLsa => Fonosana fampahafantarana
manampy PassFiltEx hatramin'ny faran'ny lisitra. (Tsy mila voafaritra ny fanitarana.) Ny lisitra feno amin'ny fonosana ampiasaina amin'ny scan dia ho toy izao "rassfm scecli PassFiltEx".
- Avereno indray ny fanaraha-maso ny sehatra.
- Averinay ny dingana etsy ambony ho an'ny mpifehy sehatra rehetra.
Azonao atao ihany koa ny manampy ireto fidirana rejisitra manaraka ireto, izay manome anao fahafahana bebe kokoa amin'ny fampiasana ity sivana ity:
Toko: HKLMSOFTWAREPassFiltEx — dia noforonina ho azy.
- HKLMSOFTWAREPpassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
BlacklistFileName - mamela anao hamaritra lalana mahazatra mankany amin'ny rakitra iray miaraka amin'ny maodelin'ny tenimiafina. Raha banga na tsy misy io fidirana amin'ny rejisitra io dia ampiasaina ny lalana default, izay - %SystemRoot%System32. Azonao atao mihitsy aza ny mamaritra ny lalan'ny tambajotra, FA mila tadidinao fa ny rakitra môdely dia tsy maintsy manana fahazoan-dàlana mazava amin'ny famakiana, fanoratana, famafana, fanovana.
- HKLMSOFTWAREPpassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword — mamela anao hamaritra ny isan-jaton'ny saron-tava amin'ny tenimiafina vaovao. Ny sanda default dia 60%. Ohatra, raha 60 ny isan-jaton'ny fisehoan-javatra ary ao amin'ny rakitra môdely ny string starwars, dia ny tenimiafina Starwars1! ho lavina raha ny tenimiafina starwars1!DarthVader88 dia ho ekena satria latsaky ny 60% ny isan-jaton'ny tady ao amin'ny tenimiafina
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
RequireCharClasses — mamela anao hanitatra ny fepetra takiana amin'ny tenimiafina raha oharina amin'ny fepetra takiana amin'ny tenimiafina ActiveDirectory mahazatra. Ny fitakiana be pitsiny ao anatiny dia mitaky 3 amin'ireo karazana tarehin-tsoratra 5 mety: Lehibe ambony, Lehibe, Digit, Special, ary Unicode. Amin'ny fampiasana ity fidirana rejisitra ity dia azonao atao ny mametraka ny fepetra takiana amin'ny fahasarotan'ny tenimiafinao. Ny sanda azo faritana dia andiana bits, izay samy manana hery roa mifanandrify.
Izany hoe 1 = litera kely, 2 = litera lehibe, 4 = isa, 8 = tarehintsoratra manokana, ary 16 = tarehintsoratra Unicode.
Noho izany miaraka amin'ny sandan'ny 7 ny fepetra dia ho "Upper Case" SY litera kely SY tarehimarika", ary amin'ny sanda 31 - "Ambony SY litera kely SY endrika SY marika manokana SY Karazana Unicode."
Azonao atao mihitsy aza ny mitambatra - 19 = “Ambony SY litera kely SY Karazana Unicode." -
Fitsipika maromaro rehefa mamorona rakitra môdely:
- Ny maodely dia tsy misy dikany. Noho izany, ny fidirana amin'ny rakitra adin-kintana и Adin-kintana dia ho tapa-kevitra ny ho mitovy lanja.
- Ny rakitra lisitra mainty dia averina vakiana isaky ny 60 segondra, mba hahafahanao manitsy azy mora foana; afaka iray minitra, ny angona vaovao dia hampiasain'ny sivana.
- Tsy misy fanohanana Unicode amin'izao fotoana izao amin'ny fampitoviana lamina. Izany hoe, azonao atao ny mampiasa tarehintsoratra Unicode amin'ny tenimiafina, fa tsy mandeha ny sivana. Tsy manakiana izany, satria tsy nahita mpampiasa mampiasa tenimiafina Unicode aho.
- Tsara ny tsy mamela andalana foana ao amin'ny rakitra môdely. Ao amin'ny debug dia afaka mahita hadisoana ianao rehefa mampiditra angona avy amin'ny rakitra. Mandeha ny sivana, fa maninona no misy fanampiny fanampiny?
Ho an'ny debugging, ny arsiva dia misy rakitra batch izay ahafahanao mamorona log ary avy eo mametaka azy amin'ny fampiasana, ohatra,
Ity sivana tenimiafina ity dia mampiasa Event Tracing ho an'ny Windows.
Ny mpamatsy ETW amin'ity sivana tenimiafina ity dia 07d83223-7594-4852-babc-784803fdf6c5. Noho izany, ohatra, azonao atao ny manitsy ny fanaraha-maso hetsika aorian'ny famerenana indray:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Hanomboka ny fanaraha-maso aorian'ny famerenana ny rafitra manaraka. Mijanona:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Ireo baiko rehetra ireo dia voafaritra ao amin'ny script StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Ho an'ny fanamarinana indray mandeha ny fiasan'ny sivana dia azonao ampiasaina StartTracing.cmd и StopTracing.cmd.
Mba hamakiana moramora ny setroka debug an'ity sivana ity Microsoft Message Analyzer Tsara ny mampiasa ireto toe-javatra manaraka ireto:
Rehefa mijanona ny logging sy ny parsing in Microsoft Message Analyzer toa izao ny zavatra rehetra:
Eto ianao dia afaka mahita fa nisy fikasana hametraka tenimiafina ho an'ny mpampiasa - ny teny majika dia milaza amintsika izany SET amin'ny debug. Ary nolavina ny tenimiafina noho ny fisiany ao amin'ny rakitra môdely ary mihoatra ny 30% mifanaraka amin'ny lahatsoratra nampidirina.
Raha misy andrana manova tenimiafina mahomby dia hitantsika ireto manaraka ireto:
Misy tsy fahatomombanana ho an'ny mpampiasa farany. Rehefa manandrana manova tenimiafina izay tafiditra ao amin'ny lisitry ny rakitra môdely ianao, ny hafatra eo amin'ny efijery dia tsy misy hafa amin'ny hafatra mahazatra rehefa tsy lany ny politikan'ny tenimiafina.
Noho izany, miomàna amin'ny antso sy antsoantso: "Niditra tsara ny tenimiafina aho, fa tsy mandeha."
Ny vokany.
Ity tranomboky ity dia ahafahanao mandrara ny fampiasana tenimiafina tsotra na mahazatra amin'ny sehatra Active Directory. Aleo atao hoe "Tsia!" tenimiafina toy ny: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Eny, mazava ho azy, ny mpampiasa dia ho tia anao bebe kokoa amin'ny fikarakarana ny fiarovana azy ireo sy ny filàna mamorona tenimiafina manaitra ny saina. Ary, angamba, hitombo ny isan'ny antso sy fangatahana fanampiana amin'ny tenimiafinao. Saingy misy vidiny ny fiarovana.
Rohy mankany amin'ny loharano ampiasaina:
Lahatsoratra Microsoft momba ny tranomboky sivana tenimiafina manokana:
PassFiltEx:
Rohy famoahana:
Lisitra tenimiafina:
DanielMiessler lisitra:
Lisitry ny teny avy amin'ny weakpass.com:
Lisitry ny teny avy amin'ny repo berzerk0:
Microsoft Message Analyzer:
Source: www.habr.com