Kif tipprojbixxi l-passwords standard u tagħmel lil kulħadd jobgħodek
Il-bniedem, kif tafu, huwa kreatura għażżien.
U aktar u aktar meta tiġi biex tagħżel password b'saħħitha.
Naħseb li kull amministratur qatt iffaċċja l-problema li juża passwords ħfief u standard. Dan il-fenomenu spiss iseħħ fost l-ogħla livelli tal-ġestjoni tal-kumpanija. Iva, iva, preċiżament fost dawk li għandhom aċċess għal informazzjoni sigrieta jew kummerċjali u jkun estremament mhux mixtieq li jiġu eliminati l-konsegwenzi ta 'tnixxija/hacking ta' password u inċidenti ulterjuri.
Fil-prattika tiegħi, kien hemm każ meta, f'dominju ta 'Active Directory b'politika ta' password attivata, accountants b'mod indipendenti waslu għall-idea li password bħal "Pas$w0rd1234" taqbel perfettament mar-rekwiżiti tal-politika. Il-konsegwenza kienet l-użu mifrux ta’ din il-password kullimkien. Kultant kien differenti biss fis-sett ta 'numri tiegħu.
Verament ridt li nkun kapaċi mhux biss nippermetti politika ta' password u niddefinixxi sett ta' karattri, iżda wkoll niffiltra permezz ta' dizzjunarju. Biex teskludi l-possibbiltà li tuża passwords bħal dawn.
Microsoft ġentilment tinfurmana permezz tal-link li kull min jaf iżomm kompilatur, IDE b'mod korrett f'idejh u jaf kif jippronunzja C++ b'mod korrett, huwa kapaċi jikkompila l-librerija li jeħtieġ u jużaha skont il-fehim tiegħu stess. Il-qaddej umli tiegħek mhux kapaċi jagħmel dan, għalhekk kelli nfittex soluzzjoni lesta.
Wara siegħa twila ta 'tiftix, ġew żvelati żewġ għażliet biex tissolva l-problema. Jien, ovvjament, qed nitkellem dwar is-soluzzjoni OpenSource. Wara kollox, hemm għażliet imħallsa - mill-bidu sat-tmiem.
Issa ma kien hemm l-ebda impenn għal madwar 2 snin. L-installatur nattiv jaħdem kull tant żmien, trid tikkoreġih manwalment. Joħloq is-servizz separat tiegħu stess. Meta taġġorna fajl tal-password, id-DLL ma jiġborx awtomatikament il-kontenut mibdul; trid twaqqaf is-servizz, tistenna timeout, teditja l-fajl u tibda s-servizz.
Il-proġett huwa attiv, ħaj u m'hemm l-ebda ħtieġa li anki kick-ġisem kiesaħ.
L-installazzjoni tal-filtru tinvolvi l-ikkupjar ta 'żewġ fajls u l-ħolqien ta' diversi entrati tar-reġistru. Il-fajl tal-password mhuwiex f'serratura, jiġifieri, huwa disponibbli għall-editjar u, skont l-idea tal-awtur tal-proġett, jinqara sempliċement darba fil-minuta. Ukoll, billi tuża entrati tar-reġistru addizzjonali, tista 'tikkonfigura aktar kemm il-filtru innifsu kif ukoll l-sfumaturi tal-politika tal-password.
So.
Mogħtija: test tad-dominju ta' Active Directory.local
Workstation tat-test Windows 8.1 (mhux importanti għall-iskop tal-problema)
filtru tal-password PassFiltEx
Kopja PassFiltEx.dll в C: WindowsSystem32 (Jew %SystemRoot%System32).
Kopja PassFiltExBlacklist.txt в C: WindowsSystem32 (Jew %SystemRoot%System32). Jekk meħtieġ, nissupplimentaha bil-mudelli tagħna stess
Editjar tal-fergħa tar-reġistru: HKLMSYSTEMCurrentControlSetControlLsa => Pakketti ta' Notifika
Żid PassFiltEx sal-aħħar tal-lista. (L-estensjoni m'għandhiex għalfejn tiġi speċifikata.) Il-lista kompluta ta' pakketti użati għall-iskannjar tidher bħal din "rassfm scecli PassFiltEx".
Reboot il-kontrollur tad-dominju.
Nirrepetu l-proċedura ta 'hawn fuq għall-kontrolluri tad-dominju kollha.
Tista 'wkoll iżżid l-entrati tar-reġistru li ġejjin, li jagħtik aktar flessibilità fl-użu ta' dan il-filtru:
BlacklistFileName — jippermettilek tispeċifika mogħdija apposta għal fajl b'mudelli ta' password. Jekk din l-entrata tar-reġistru hija vojta jew ma teżistix, allura tintuża l-mogħdija default, li hija - %SystemRoot%System32. Tista 'anki tispeċifika mogħdija tan-netwerk, IMMA trid tiftakar li l-fajl tal-mudell għandu jkollu permessi ċari għall-qari, il-kitba, it-tħassir, il-bidla.
TokenPercentageOfPassword — jippermettilek li tispeċifika l-persentaġġ tal-maskra fil-password il-ġdida. Il-valur default huwa 60%. Per eżempju, jekk l-okkorrenza perċentwali hija 60 u l-istring starwars ikun fil-fajl tal-mudell, allura l-password Starwars1! se tiġi miċħuda filwaqt li l-password starwars1!DarthVader88 se jiġi aċċettat minħabba li l-perċentwal tas-sekwenza fil-password huwa inqas minn 60%
RequireCharClasses — jippermettilek tespandi r-rekwiżiti tal-password meta mqabbla mar-rekwiżiti standard tal-kumplessità tal-password ActiveDirectory. Ir-rekwiżiti ta' kumplessità integrati jeħtieġu 3 mill-5 tipi differenti ta' karattri possibbli: Uppercase, Lowercase, Digit, Speċjali u Unicode. Billi tuża din l-entrata tar-reġistru, tista’ tissettja r-rekwiżiti tal-kumplessità tal-password tiegħek. Il-valur li jista 'jiġi speċifikat huwa sett ta' bits, li kull wieħed minnhom huwa qawwa korrispondenti ta 'tnejn.
Jiġifieri, 1 = zgħar, 2 = kbar, 4 = ċifri, 8 = karattru speċjali, u 16 = karattru Unicode.
Allura b'valur ta '7 ir-rekwiżiti jkunu "Upper Case" U minusura U ċifra”, u b’valur ta’ 31 - “Majju U minusura U ċifra U simbolu speċjali U Karattru Unicode."
Tista 'anki tgħaqqad - 19 = “Upper case U minusura U Karattru Unicode."
Għadd ta' regoli meta toħloq fajl mudell:
Il-mudelli mhumiex sensittivi għall-każi. Għalhekk, id-dħul tal-fajl star Wars и StarWarS se jiġi determinat li jkun l-istess valur.
Il-fajl tal-lista sewda jerġa’ jinqara kull 60 sekonda, sabiex tkun tista’ teditjah faċilment; wara minuta, id-dejta l-ġdida tintuża mill-filtru.
Bħalissa m'hemm l-ebda appoġġ Unicode għat-tqabbil tal-mudell. Jiġifieri, tista 'tuża karattri Unicode fil-passwords, iżda l-filtru mhux se jaħdem. Dan mhuwiex kritiku, għaliex ma rajtx utenti li jużaw passwords Unicode.
Huwa rakkomandabbli li ma tħallix linji vojta fil-fajl tal-mudell. Fid-debug tista 'mbagħad tara żball meta tagħbija data minn fajl. Il-filtru jaħdem, imma għaliex l-eċċezzjonijiet żejda?
Għad-debugging, l-arkivju fih fajls tal-lott li jippermettulek toħloq log u mbagħad teżaminah billi tuża, pereżempju, Analizzatur tal-Messaġġ Microsoft.
Dan il-filtru tal-password juża Event Tracing għall-Windows.
Il-fornitur tal-ETW għal dan il-filtru tal-password huwa 07d83223-7594-4852-babc-784803fdf6c5. Allura, pereżempju, tista 'tikkonfigura t-traċċar tal-avvenimenti wara r-reboot li ġej: logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
It-traċċar jibda wara r-reboot tas-sistema li jmiss. Biex tieqaf: logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Dawn il-kmandi kollha huma speċifikati fl-iskripts StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Għal kontroll ta 'darba tal-operazzjoni tal-filtru, tista' tuża StartTracing.cmd и StopTracing.cmd.
Sabiex taqra b'mod konvenjenti l-egżost tad-debug ta 'dan il-filtru fil Analizzatur tal-Messaġġi tal-Microsoft Huwa rakkomandat li tuża s-settings li ġejjin:
Meta twaqqaf il-qtugħ u l-parsing Analizzatur tal-Messaġġi tal-Microsoft kollox jidher xi ħaġa bħal din:
Hawnhekk tista 'tara li kien hemm tentattiv biex tiġi stabbilita password għall-utent - il-kelma maġika tgħidilna dan SET fid-debug. U l-password ġiet miċħuda minħabba l-preżenza tagħha fil-fajl tal-mudell u aktar minn 30% jaqblu fit-test imdaħħal.
Jekk isir tentattiv ta' bidla tal-password b'suċċess, naraw dan li ġej:
Hemm xi inkonvenjent għall-utent aħħari. Meta tipprova tibdel password li hija inkluża fil-lista tal-fajls tal-mudelli, il-messaġġ fuq l-iskrin ma jkunx differenti mill-messaġġ standard meta l-politika tal-password ma tkunx għaddiet.
Għalhekk, kun ippreparat għal sejħiet u għajjat: "Daħħal il-password b'mod korrett, iżda ma taħdimx."
It-total.
Din il-librerija tippermettilek tipprojbixxi l-użu ta' passwords sempliċi jew standard f'dominju ta' Active Directory. Ejja ngħidu "Le!" passwords bħal: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Iva, ovvjament, l-utenti se jħobbuk saħansitra aktar talli jieħdu ħsieb tali s-sigurtà tagħhom u l-ħtieġa li joħorġu b'passwords moħħok. U, forsi, in-numru ta' sejħiet u talbiet għall-għajnuna bil-password tiegħek se jiżdied. Iżda s-sigurtà tiġi bi prezz.
Links għar-riżorsi użati:
Artikolu tal-Microsoft dwar librerija tal-filtri tal-password tad-dwana: Filtri tal-Password
PassFiltEx: PassFiltEx
Link tar-rilaxx: L-aħħar ħruġ
Listi tal-passwords:
DanielMiessler jelenka: Link.
Lista ta' kliem minn weakpass.com: Link.
Lista ta' kliem minn berzerk0 repo: Link.
Microsoft Message Analyzer: Analizzatur tal-Messaġġ Microsoft.