د ډیفالټ پاسورډونو بندولو څرنګوالی او هرڅوک له تاسو څخه نفرت کوي

انسان، لکه څنګه چې تاسو پوهیږئ، یو سست مخلوق دی.
او حتی نور هم کله چې دا د قوي پاسورډ غوره کولو خبره راځي.

زه فکر کوم چې هر مدیر تل د سپک او معیاري پاسورډونو کارولو ستونزې سره مخ شوي. دا پدیده اکثرا د شرکت مدیریت د لوړو پوړونو ترمنځ واقع کیږي. هو، هو، دقیقا د هغو کسانو په منځ کې چې پټو یا سوداګریزو معلوماتو ته لاس رسی لري او دا به خورا ناغوښتل وي چې د پټنوم لیک/هیک کولو او نورو پیښو پایلې له منځه یوسي.

زما په عمل کې، داسې یوه قضیه وه کله چې د فعال لارښود ډومین کې د پاسورډ پالیسي فعاله شوې وه، محاسبین په خپلواکه توګه دې نظر ته راغلل چې د "Pas$w0rd1234" په څیر یو پټنوم د پالیسۍ اړتیاوې په سمه توګه سره سمون لري. پایله دا وه چې د دې پټنوم پراخه کارول په هر ځای کې. ځینې ​​​​وختونه هغه یوازې د خپلو شمیرو په ترتیب کې توپیر درلود.

ما واقعیا غوښتل چې نه یوازې د پاسورډ پالیسي فعاله کړم او د کرکټر سیټ تعریف کړم ، بلکه د لغت لخوا فلټر هم کړم. د داسې پاسورډونو کارولو امکان لرې کولو لپاره.

مایکروسافټ په مهربانۍ سره موږ ته د لینک له لارې خبر راکوي چې هرڅوک چې پوهیږي چې څنګه کمپیلر، IDE په سمه توګه په خپلو لاسونو کې ونیسي او پوهیږي چې څنګه C++ په سمه توګه تلفظ وکړي، کولی شي هغه کتابتون چې دوی ورته اړتیا لري تالیف کړي او د دوی د پوهې سره سم یې وکاروي. ستاسو عاجز بنده د دې توان نلري، نو زه باید د چمتو شوي حل په لټه کې شم.

د اوږده ساعت لټون وروسته، د ستونزې د حل لپاره دوه اختیارونه ښکاره شول. زه، البته، د OpenSource حل په اړه خبرې کوم. په هرصورت، تادیه شوي اختیارونه شتون لري - له پیل څخه تر پای پورې.

اختیار نمبر 1 د پاسورډ فلټر خلاص کړئ

اوس د شاوخوا 2 کلونو لپاره هیڅ ژمنې ندي شوي. اصلي انسټالر هر وخت کار کوي ، تاسو باید دا په لاسي ډول سم کړئ. خپل جلا خدمت جوړوي. کله چې د پټنوم فایل تازه کول، DLL په اتوماتيک ډول بدل شوی مینځپانګه نه اخلي؛ تاسو اړتیا لرئ چې خدمت ودروئ، د وخت پای ته انتظار وکړئ، فایل سم کړئ، او خدمت پیل کړئ.

یخ نشته!

اختیار نمبر 2 PassFiltEx

پروژه فعاله ده، ژوندی دی او حتی اړتیا نشته چې سړه بدن ولګوي.
د فلټر نصب کول د دوه فایلونو کاپي کول او د راجسټری ډیری ننوتلو رامینځته کول شامل دي. د پټنوم فایل په بند کې نه دی، دا د سمون لپاره شتون لري او د پروژې د لیکوال د نظر سره سم، دا په ساده ډول په دقیقه کې یو ځل لوستل کیږي. همچنان ، د اضافي راجسټری ننوتلو په کارولو سره ، تاسو کولی شئ پخپله فلټر دواړه تنظیم کړئ او حتی د پټنوم پالیسۍ لنډیزونه.

ښه.
ورکړل شوی: د فعال لارښود ډومین test.local
د وینډوز 8.1 ټیسټ ورک سټیشن (د ستونزې د هدف لپاره مهم ندي)
د پټنوم فلټر PassFiltEx

• د لینک څخه وروستی خپرونه ډاونلوډ کړئ PassFiltEx
• کاپي PassFiltEx.dll в C: WindowsSystem32 (يا %SystemRoot%System32).
  کاپي PassFiltExBlacklist.txt в C: WindowsSystem32 (يا %SystemRoot%System32). که اړتیا وي، موږ دا د خپلو نمونو سره ضمیمه کوو
  
• د راجسټری څانګې ترمیم کول: HKLMSYSTECurrentControlSetControlLsa => د خبرتیا کڅوړې
  اضافه کول PassFiltEx د لیست پای ته. (توسیع ته اړتیا نلري چې مشخص شي.) د سکین کولو لپاره کارول شوي کڅوړو بشپړ لیست به داسې ښکاري "rassfm scecli PassFiltEx".
  
• د ډومین کنټرولر ریبوټ کړئ.
• موږ پورته کړنلاره د ټولو ډومین کنټرولرانو لپاره تکرار کوو.

تاسو کولی شئ لاندې راجسټری ننوتل هم اضافه کړئ ، کوم چې تاسو ته د دې فلټر کارولو کې ډیر انعطاف درکوي:

څپرکی: HKLMSOFTWAREPassFiltEx - په اتوماتيک ډول جوړ شوی.

• HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ، ډیفالټ: PassFiltExBlacklist.txt

  تور لیست فایل نوم - تاسو ته اجازه درکوي د پټنوم ټیمپلیټونو سره فایل ته دودیز لاره مشخص کړئ. که دا د راجسټری داخله خالي وي یا شتون ونلري، نو بیا اصلي لاره کارول کیږي، کوم چې دا دی - %SystemRoot%System32. تاسو حتی کولی شئ د شبکې لاره مشخص کړئ ، مګر تاسو اړتیا لرئ په یاد ولرئ چې د ټیمپلیټ فایل باید د لوستلو ، لیکلو ، حذف کولو ، بدلون لپاره روښانه اجازې ولري.

• HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD، ډیفالټ: 60

  TokenPercentageOfPassword - تاسو ته اجازه درکوي په نوي پټنوم کې د ماسک سلنه مشخص کړئ. اصلي ارزښت 60٪ دی. د مثال په توګه، که چیرې د پیښې فیصدي 60 وي او د سټینګ سټاروار د ټیمپلیټ فایل کې وي، نو بیا پټنوم ستوري1! د پټنوم په وخت کې به رد شي starwars1!DarthVader88 به ومنل شي ځکه چې په پټنوم کې د تار سلنه له 60٪ څخه کمه ده

• HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD، ډیفالټ: 0

  د چارکلاسونو اړتیا - تاسو ته اجازه درکوي د معیاري ActiveDirectory پاسورډ پیچلتیا اړتیاو په پرتله د پاسورډ اړتیاوې پراخه کړئ. د جوړ شوي پیچلتیا اړتیاوې د 3 ممکنه مختلف ډوله حروفونو څخه 5 ته اړتیا لري: لوی، لوی، ډیجیټ، ځانګړي، او یونیکوډ. د دې راجسټری ننوتلو په کارولو سره ، تاسو کولی شئ د خپل پټنوم پیچلتیا اړتیاوې تنظیم کړئ. هغه ارزښت چې مشخص کیدی شي د بټونو سیټ دی، چې هر یو یې د دوه ورته ځواک سره تړاو لري.
  دا دی، 1 = کوچنی، 2 = لوی، 4 = عدد، 8 = ځانګړی کرکټر، او 16 = یونیکوډ کرکټر.
  نو د 7 ارزښت سره اړتیاوې به "لوړ قضیه" وي او کوچنی او عدد"، او د 31 ارزښت سره - "پورته کیسه او کوچنۍ کیسه او شمیره او ځانګړی سمبول او یونیکوډ کرکټر."
  تاسو حتی کولی شئ یوځای کړئ - 19 = "پورته قضیه او کوچنۍ کیسه او یونیکوډ کرکټر."

• 

د ټیمپلیټ فایل رامینځته کولو پرمهال یو شمیر مقررات:

• کينډۍ د قضيې حساس دي. له همدې امله، د دوتنې ننوتل ستوري и StarWarS د ورته ارزښت ټاکل کیږي.
• د تور لیست فایل په هر 60 ثانیو کې بیا لوستل کیږي، نو تاسو کولی شئ په اسانۍ سره یې ترمیم کړئ؛ د یوې دقیقې وروسته، نوې ډاټا به د فلټر لخوا کارول کیږي.
• اوس مهال د نمونې سره سمون لپاره د یونیکوډ ملاتړ شتون نلري. دا دی ، تاسو کولی شئ په پاسورډونو کې د یونیکوډ حروف وکاروئ ، مګر فلټر به کار ونکړي. دا مهمه نه ده، ځکه چې ما داسې کاروونکي نه دي لیدلي چې د یونیکوډ پاسورډونه کاروي.
• دا مشوره ورکول کیږي چې د ټیمپلیټ فایل کې خالي کرښو ته اجازه مه ورکوئ. په ډیبګ کې تاسو بیا د فایل څخه ډیټا پورته کولو پرمهال یوه تېروتنه لیدلی شئ. فلټر کار کوي، مګر ولې اضافي استثناوې؟

د ډیبګ کولو لپاره ، آرشیف د بیچ فایلونه لري چې تاسو ته اجازه درکوي لاګ رامینځته کړئ او بیا یې په کارولو سره تحلیل کړئ ، د مثال په توګه ، د مایکروسافټ پیغام تحلیل کونکی.
دا پاسورډ فلټر د وینډوز لپاره د پیښې تعقیب کاروي.

د دې پټنوم فلټر لپاره ETW چمتو کونکی دی 07d83223-7594-4852-babc-784803fdf6c5. نو ، د مثال په توګه ، تاسو کولی شئ د لاندې ریبوټ وروسته د پیښې تعقیب تنظیم کړئ:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

تعقیب به د راتلونکي سیسټم ریبوټ وروسته پیل شي. د بندولو لپاره:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
دا ټول حکمونه په سکریپټونو کې مشخص شوي StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

د فلټر عملیاتو یو ځل چک لپاره، تاسو کولی شئ وکاروئ StartTracing.cmd и StopTracing.cmd.
د دې فلټر د ډیبګ اخراج په اسانۍ سره لوستلو لپاره د مایکروسیف پیغام پیغام شنونکی دا سپارښتنه کیږي چې لاندې ترتیبات وکاروئ:

کله چې د ننوتلو او پارس کولو مخه ونیسئ د مایکروسیف پیغام پیغام شنونکی هر څه داسې ښکاري:

دلته تاسو لیدلی شئ چې د کارونکي لپاره د پټنوم تنظیم کولو هڅه وه - جادو کلمه موږ ته دا وایی د ترتیب په ډیبګ کې او پاسورډ د ټیمپلیټ فایل کې د شتون له امله رد شو او په داخل شوي متن کې له 30٪ څخه ډیر میچ.

که چیرې د رمز بدلولو بریالۍ هڅه ترسره شي، موږ لاندې ګورو:

د پای کارونکي لپاره یو څه تکلیف شتون لري. کله چې تاسو د یو پټنوم بدلولو هڅه کوئ چې د ټیمپلیټ فایلونو لیست کې شامل وي، په سکرین کې پیغام د معیاري پیغام څخه توپیر نلري کله چې د پاسورډ پالیسي نه تیریږي.

له همدې امله، د زنګ وهلو او چیغې لپاره چمتو اوسئ: "ما پاسورډ په سمه توګه داخل کړ، مګر دا کار نه کوي."

ټوله

دا کتابتون تاسو ته اجازه درکوي چې د فعال لارښود ډومین کې د ساده یا معیاري پاسورډونو کارول منع کړئ. راځئ چې ووایو "نه!" پاسورډونه لکه: "P@ssw0rd"، "Qwerty123"، "ADm1n098".
هو، البته، کاروونکي به تاسو سره د دوی د امنیت د داسې پاملرنې او د زړه راښکونکي پاسورډونو سره د راتلو اړتیا لپاره نور هم مینه وکړي. او، شاید، ستاسو د پټنوم سره د مرستې لپاره د زنګونو او غوښتنو شمیر به ډیر شي. مګر امنیت په قیمت کې راځي.

د کارول شویو سرچینو لینکونه:
د دودیز پاسورډ فلټر کتابتون په اړه د مایکروسافټ مقاله: د پټنوم فلټرونه
PassFiltEx: PassFiltEx
د خپریدو لینک: وروستي خپرونه
د پټنوم لیست:
ډینیل میسلر لیست کوي: لینک
د weakpass.com څخه د کلمې لیست: لینک
د berzerk0 repo څخه د کلمې لیست: لینک
د مایکروسافټ پیغام تحلیل کونکی: د مایکروسافټ پیغام تحلیل کونکی.

سرچینه: www.habr.com