Mennesket er som kjent en lat skapning.
Og enda mer når det gjelder å velge et sterkt passord.
Jeg tror alle administratorer noen gang har møtt problemet med å bruke lette og standard passord. Dette fenomenet forekommer ofte blant de øvre sjiktene i bedriftsledelsen. Ja, ja, nettopp blant de som har tilgang til hemmelig eller kommersiell informasjon og det vil være ekstremt uønsket å eliminere konsekvensene av passordlekkasjer/hacking og ytterligere hendelser.
I min praksis var det et tilfelle da, i et Active Directory-domene med en passordpolicy aktivert, regnskapsførere uavhengig kom til ideen om at et passord som "Pas$w0rd1234" passer perfekt til policykravene. Konsekvensen var den utbredte bruken av dette passordet overalt. Noen ganger var han forskjellig bare i sitt sett med tall.
Jeg ønsket virkelig å kunne ikke bare aktivere en passordpolicy og definere et tegnsett, men også filtrere etter ordbok. For å utelukke muligheten for å bruke slike passord.
Microsoft informerer oss vennlig via lenken om at alle som vet hvordan man holder en kompilator, IDE riktig i hendene og vet hvordan man uttaler C++ riktig, er i stand til å kompilere biblioteket de trenger og bruke det etter egen forståelse. Din ydmyke tjener er ikke i stand til dette, så jeg måtte se etter en ferdig løsning.
Etter en lang times leting ble to alternativer for å løse problemet avslørt. Jeg snakker selvfølgelig om OpenSource-løsningen. Tross alt er det betalte alternativer - fra start til slutt.
Alternativ nummer 1.
Det har ikke vært noen forpliktelser på ca. 2 år nå. Det opprinnelige installasjonsprogrammet fungerer nå og da, du må korrigere det manuelt. Oppretter sin egen separate tjeneste. Når du oppdaterer en passordfil, henter ikke DLL automatisk det endrede innholdet; du må stoppe tjenesten, vente en timeout, redigere filen og starte tjenesten.
Ingen is!
Alternativ nummer 2.
Prosjektet er aktivt, levende og det er ingen grunn til å sparke den kalde kroppen en gang.
Installasjon av filteret innebærer å kopiere to filer og opprette flere registeroppføringer. Passordfilen er ikke låst, det vil si at den er tilgjengelig for redigering, og i henhold til ideen til forfatteren av prosjektet, leses den bare en gang i minuttet. Ved å bruke flere registeroppføringer kan du også konfigurere både selve filteret og til og med nyansene i passordpolicyen.
So.
Gitt: Active Directory-domene test.local
Windows 8.1 testarbeidsstasjon (ikke viktig for formålet med problemet)
passordfilter PassFiltEx
- Last ned den siste utgivelsen fra lenken
- Kopiere PassFiltEx.dll в C: WindowsSystem32 (eller % Systemroot% System32).
Kopiere PassFiltExBlacklist.txt в C: WindowsSystem32 (eller % Systemroot% System32). Om nødvendig supplerer vi med egne maler
- Redigere registergrenen: HKLMSYSTEM CurrentControlSetControlLsa => Varslingspakker
legge PassFiltEx til slutten av listen. (Utvidelsen trenger ikke spesifiseres.) Den komplette listen over pakker som brukes til skanning vil se slik ut "rassfm scecli PassFiltEx".
- Start domenekontrolleren på nytt.
- Vi gjentar prosedyren ovenfor for alle domenekontrollere.
Du kan også legge til følgende registeroppføringer, noe som gir deg mer fleksibilitet når du bruker dette filteret:
Kapittel: HKLMSOFTWAREPassFiltEx — opprettes automatisk.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Standard: PassFiltExBlacklist.txt
Svartelistefilnavn — lar deg spesifisere en egendefinert bane til en fil med passordmaler. Hvis denne registeroppføringen er tom eller ikke eksisterer, brukes standardbanen, som er - % Systemroot% System32. Du kan til og med spesifisere en nettverksbane, MEN du må huske at malfilen må ha klare tillatelser for å lese, skrive, slette, endre.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, standard: 60
TokenPercentageOfPassword — lar deg spesifisere prosentandelen av masken i det nye passordet. Standardverdien er 60 %. For eksempel, hvis den prosentvise forekomsten er 60 og strengen starwars er i malfilen, så er passordet Starwars1! vil bli avvist mens passordet starwars1!DarthVader88 vil bli akseptert fordi prosentandelen av strengen i passordet er mindre enn 60 %
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, standard: 0
RequireCharClasses — lar deg utvide passordkravene sammenlignet med standard ActiveDirectory passordkompleksitetskrav. De innebygde kompleksitetskravene krever 3 av de 5 mulige forskjellige typene tegn: Store bokstaver, Små bokstaver, Siffer, Spesial og Unicode. Ved å bruke denne registeroppføringen kan du angi kravene til passordkompleksitet. Verdien som kan spesifiseres er et sett med biter, som hver er en tilsvarende potens på to.
Det vil si - 1 = små bokstaver, 2 = store bokstaver, 4 = siffer, 8 = spesialtegn og 16 = Unicode-tegn.
Så med en verdi på 7 vil kravene være "store bokstaver" OG små bokstaver OG siffer", og med en verdi på 31 - "Store bokstaver OG små bokstaver OG figuren OG spesielt symbol OG Unicode-tegn."
Du kan til og med kombinere - 19 = "Store bokstaver OG små bokstaver OG Unicode-tegn." -
En rekke regler når du oppretter en malfil:
- Maler skiller ikke mellom store og små bokstaver. Derfor filoppføringen stjerne krigen и Stjerne krigen vil bli bestemt til å ha samme verdi.
- Svartelistefilen leses på nytt hvert 60. sekund, slik at du enkelt kan redigere den; etter et minutt vil de nye dataene bli brukt av filteret.
- Det er for øyeblikket ingen Unicode-støtte for mønstertilpasning. Det vil si at du kan bruke Unicode-tegn i passord, men filteret vil ikke fungere. Dette er ikke kritisk, fordi jeg ikke har sett brukere som bruker Unicode-passord.
- Det anbefales å ikke tillate tomme linjer i malfilen. I feilsøkingen kan du da se en feil når du laster data fra en fil. Filteret fungerer, men hvorfor de ekstra unntakene?
For feilsøking inneholder arkivet batchfiler som lar deg lage en logg og deretter analysere den ved hjelp av f.eks.
Dette passordfilteret bruker hendelsessporing for Windows.
ETW-leverandøren for dette passordfilteret er 07d83223-7594-4852-babc-784803fdf6c5. Så, for eksempel, kan du konfigurere hendelsessporing etter følgende omstart:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Sporing vil starte etter neste omstart av systemet. Å stoppe:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Alle disse kommandoene er spesifisert i skriptene StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
For en engangssjekk av filterdriften kan du bruke StartTracing.cmd и StopTracing.cmd.
For å enkelt kunne lese feilsøkingseksosen til dette filteret Microsoft Message Analyzer Det anbefales å bruke følgende innstillinger:
Når du stopper pålogging og parsing Microsoft Message Analyzer alt ser omtrent slik ut:
Her kan du se at det var et forsøk på å sette et passord for brukeren – det magiske ordet forteller oss dette SET i feilsøking. Og passordet ble avvist på grunn av dets tilstedeværelse i malfilen og mer enn 30% samsvar i den angitte teksten.
Hvis et vellykket forsøk på å endre passord er gjort, ser vi følgende:
Det er noen ulemper for sluttbrukeren. Når du prøver å endre et passord som er inkludert i listen over maler, er meldingen på skjermen ikke forskjellig fra standardmeldingen når passordpolicyen ikke er godkjent.
Vær derfor forberedt på samtaler og rop: "Jeg skrev inn passordet riktig, men det fungerer ikke."
Oppsummering.
Dette biblioteket lar deg forby bruk av enkle eller standard passord i et Active Directory-domene. La oss si "Nei!" passord som: "P@ssw0rd", "Qwerty123", "ADm1n098".
Ja, selvfølgelig, brukere vil elske deg enda mer for å ta vare på sikkerheten deres og behovet for å komme opp med imponerende passord. Og kanskje vil antallet anrop og forespørsler om hjelp med passordet ditt øke. Men sikkerhet har en pris.
Lenker til ressurser som er brukt:
Microsoft-artikkel om et tilpasset passordfilterbibliotek:
PassFiltEx:
Utgivelseslink:
Passordlister:
DanielMiessler lister opp:
Ordliste fra weakpass.com:
Ordliste fra berzerk0 repo:
Microsoft Message Analyzer:
Kilde: www.habr.com