Manusia, seperti yang anda tahu, adalah makhluk yang malas.
Dan lebih-lebih lagi apabila ia datang untuk memilih kata laluan yang kuat.
Saya rasa setiap pentadbir pernah menghadapi masalah menggunakan kata laluan yang ringan dan standard. Fenomena ini sering berlaku di kalangan pihak atasan pengurusan syarikat. Ya, ya, tepatnya di kalangan mereka yang mempunyai akses kepada maklumat rahsia atau komersial dan adalah amat tidak diingini untuk menghapuskan akibat kebocoran kata laluan/penggodaman dan insiden selanjutnya.
Dalam amalan saya, terdapat kes apabila, dalam domain Active Directory dengan dasar kata laluan didayakan, akauntan secara bebas mendapat idea bahawa kata laluan seperti "Pas$w0rd1234" sesuai dengan keperluan dasar dengan sempurna. Akibatnya ialah penggunaan kata laluan ini secara meluas di mana-mana. Kadang-kadang dia hanya berbeza dalam set nombornya.
Saya benar-benar ingin dapat bukan sahaja mendayakan dasar kata laluan dan menentukan set aksara, tetapi juga menapis mengikut kamus. Untuk mengecualikan kemungkinan menggunakan kata laluan sedemikian.
Microsoft dengan hormatnya memaklumkan kami melalui pautan bahawa sesiapa yang tahu cara memegang pengkompil, IDE dengan betul di tangan mereka dan tahu cara menyebut C++ dengan betul, dapat menyusun perpustakaan yang mereka perlukan dan menggunakannya mengikut pemahaman mereka sendiri. Hamba-Mu yang hina ini tidak mampu melakukan ini, jadi saya terpaksa mencari penyelesaian yang sedia ada.
Selepas sejam mencari, dua pilihan untuk menyelesaikan masalah telah didedahkan. Saya, sudah tentu, bercakap tentang penyelesaian OpenSource. Lagipun, terdapat pilihan berbayar - dari awal hingga akhir.
Nombor opsyen 1.
Tiada komitmen selama kira-kira 2 tahun sekarang. Pemasang asli berfungsi dari semasa ke semasa, anda perlu membetulkannya secara manual. Mencipta perkhidmatan tersendiri. Apabila mengemas kini fail kata laluan, DLL tidak secara automatik mengambil kandungan yang diubah; anda perlu menghentikan perkhidmatan, menunggu tamat masa, mengedit fail dan memulakan perkhidmatan.
Tiada ais!
Nombor opsyen 2.
Projek itu aktif, hidup dan tidak perlu menendang badan yang sejuk.
Memasang penapis melibatkan menyalin dua fail dan mencipta beberapa entri pendaftaran. Fail kata laluan tidak berada dalam kunci, iaitu, ia tersedia untuk diedit dan, mengikut idea pengarang projek, ia hanya dibaca sekali seminit. Selain itu, menggunakan entri pendaftaran tambahan, anda boleh mengkonfigurasi kedua-dua penapis itu sendiri dan juga nuansa dasar kata laluan.
Jadi.
Diberi: ujian domain Direktori Aktif.local
Stesen kerja ujian Windows 8.1 (tidak penting untuk tujuan masalah)
penapis kata laluan PassFiltEx
- Muat turun keluaran terkini daripada pautan
- Salinan PassFiltEx.dll в C: WindowsSystem32 (Atau %SystemRoot%System32).
Salinan PassFiltExBlacklist.txt в C: WindowsSystem32 (Atau %SystemRoot%System32). Jika perlu, kami menambahnya dengan templat kami sendiri
- Mengedit cawangan pendaftaran: HKLMSYSTEMCurrentControlSetControlLsa => Pakej Pemberitahuan
Tambah PassFiltEx ke penghujung senarai. (Pelanjutan tidak perlu dinyatakan.) Senarai lengkap pakej yang digunakan untuk pengimbasan akan kelihatan seperti ini “rassfm scecli PassFiltEx".
- But semula pengawal domain.
- Kami mengulangi prosedur di atas untuk semua pengawal domain.
Anda juga boleh menambah entri pendaftaran berikut, yang memberikan anda lebih fleksibiliti dalam menggunakan penapis ini:
Bab: HKLMSOFTWAREPassFiltEx — dibuat secara automatik.
- HKLMSOFTWAREPassFiltExBlacklistNamaFail, REG_SZ, Lalai: PassFiltExBlacklist.txt
Senarai HitamNama Fail — membolehkan anda menentukan laluan tersuai ke fail dengan templat kata laluan. Jika entri pendaftaran ini kosong atau tidak wujud, maka laluan lalai digunakan, iaitu - %SystemRoot%System32. Anda juga boleh menentukan laluan rangkaian, TETAPI anda perlu ingat bahawa fail templat mesti mempunyai kebenaran yang jelas untuk membaca, menulis, memadam, menukar.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Lalai: 60
TokenPercentageOfPassword — membolehkan anda menentukan peratusan topeng dalam kata laluan baharu. Nilai lalai ialah 60%. Sebagai contoh, jika peratusan kejadian ialah 60 dan rentetan starwars berada dalam fail templat, maka kata laluan Starwars1! akan ditolak manakala kata laluan starwars1!DarthVader88 akan diterima kerana peratusan rentetan dalam kata laluan adalah kurang daripada 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Lalai: 0
RequireCharClasses — membolehkan anda mengembangkan keperluan kata laluan berbanding keperluan kerumitan kata laluan ActiveDirectory standard. Keperluan kerumitan terbina dalam memerlukan 3 daripada 5 jenis aksara yang mungkin berbeza: Huruf Besar, Huruf Kecil, Digit, Khas dan Unikod. Menggunakan entri pendaftaran ini, anda boleh menetapkan keperluan kerumitan kata laluan anda. Nilai yang boleh ditentukan ialah satu set bit, setiap satunya adalah kuasa dua yang sepadan.
Iaitu, 1 = huruf kecil, 2 = huruf besar, 4 = digit, 8 = aksara khas, dan 16 = aksara Unicode.
Jadi dengan nilai 7 keperluannya ialah "Huruf Besar" DAN huruf kecil DAN digit", dan dengan nilai 31 - "Huruf besar DAN huruf kecil DAN digit DAN simbol khas DAN aksara Unikod."
Anda juga boleh menggabungkan - 19 = “Huruf besar DAN huruf kecil DAN aksara Unikod." -
Beberapa peraturan semasa membuat fail templat:
- Templat tidak peka huruf besar-besaran. Oleh itu, kemasukan fail starwars и StarWarS akan ditentukan sebagai nilai yang sama.
- Fail senarai hitam dibaca semula setiap 60 saat, jadi anda boleh mengeditnya dengan mudah; selepas seminit, data baharu akan digunakan oleh penapis.
- Pada masa ini tiada sokongan Unicode untuk padanan corak. Iaitu, anda boleh menggunakan aksara Unicode dalam kata laluan, tetapi penapis tidak akan berfungsi. Ini tidak kritikal, kerana saya tidak pernah melihat pengguna yang menggunakan kata laluan Unicode.
- Adalah dinasihatkan untuk tidak membenarkan baris kosong dalam fail templat. Dalam nyahpepijat anda kemudian boleh melihat ralat semasa memuatkan data daripada fail. Penapis berfungsi, tetapi mengapa pengecualian tambahan?
Untuk penyahpepijatan, arkib mengandungi fail kelompok yang membolehkan anda membuat log dan kemudian menghuraikannya menggunakan, sebagai contoh,
Penapis kata laluan ini menggunakan Pengesanan Peristiwa untuk Windows.
Pembekal ETW untuk penapis kata laluan ini ialah 07d83223-7594-4852-babc-784803fdf6c5. Jadi, sebagai contoh, anda boleh mengkonfigurasi pengesanan peristiwa selepas but semula berikut:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Penjejakan akan bermula selepas but semula sistem seterusnya. Untuk berhenti:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Semua arahan ini dinyatakan dalam skrip StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Untuk pemeriksaan sekali operasi penapis, anda boleh gunakan StartTracing.cmd и StopTracing.cmd.
Untuk membaca ekzos nyahpepijat penapis ini dengan mudah Penganalisis Mesej Microsoft Adalah disyorkan untuk menggunakan tetapan berikut:
Apabila berhenti log masuk dan menghuraikan masuk Penganalisis Mesej Microsoft semuanya kelihatan seperti ini:
Di sini anda dapat melihat bahawa terdapat percubaan untuk menetapkan kata laluan untuk pengguna - perkataan ajaib memberitahu kami perkara ini SET dalam nyahpepijat. Dan kata laluan telah ditolak kerana kehadirannya dalam fail templat dan lebih daripada 30% sepadan dalam teks yang dimasukkan.
Jika percubaan menukar kata laluan berjaya dibuat, kami melihat perkara berikut:
Terdapat sedikit kesulitan untuk pengguna akhir. Apabila anda cuba menukar kata laluan yang disertakan dalam senarai fail templat, mesej pada skrin tidak berbeza daripada mesej standard apabila dasar kata laluan tidak diluluskan.
Oleh itu, bersiaplah untuk panggilan dan jeritan: "Saya memasukkan kata laluan dengan betul, tetapi ia tidak berfungsi."
Ringkasan.
Pustaka ini membolehkan anda melarang penggunaan kata laluan mudah atau standard dalam domain Active Directory. Katakan "Tidak!" kata laluan seperti: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Ya, sudah tentu, pengguna akan lebih menyayangi anda kerana menjaga keselamatan mereka dan keperluan untuk menghasilkan kata laluan yang mengagumkan. Dan, mungkin, bilangan panggilan dan permintaan untuk bantuan dengan kata laluan anda akan meningkat. Tetapi keselamatan datang pada harga.
Pautan kepada sumber yang digunakan:
Artikel Microsoft mengenai pustaka penapis kata laluan tersuai:
PassFiltEx:
Pautan keluaran:
Senarai kata laluan:
DanielMiessler menyenaraikan:
Senarai perkataan dari weakpass.com:
Senarai perkataan dari repo berzerk0:
Penganalisis Mesej Microsoft:
Sumber: www.habr.com