Omul, după cum știi, este o creatură leneșă.
Și cu atât mai mult când vine vorba de alegerea unei parole puternice.
Cred că fiecare administrator s-a confruntat vreodată cu problema utilizării parolelor ușoare și standard. Acest fenomen apare adesea în eșaloanele superioare ale managementului companiei. Da, da, tocmai în rândul celor care au acces la informații secrete sau comerciale și ar fi extrem de nedorit să se elimine consecințele scurgerilor de parole/hacking-ului și incidentelor ulterioare.
În practica mea, a existat un caz în care, într-un domeniu Active Directory cu o politică de parole activată, contabilii au venit în mod independent la ideea că o parolă precum „Pas$w0rd1234” se potrivește perfect cerințelor politicii. Consecința a fost utilizarea pe scară largă a acestei parole peste tot. Uneori el diferea doar în setul său de numere.
Mi-am dorit foarte mult să pot nu numai să activez o politică de parole și să definesc un set de caractere, ci și să pot filtra după dicționar. Pentru a exclude posibilitatea utilizării unor astfel de parole.
Microsoft ne informează cu amabilitate prin intermediul link-ului că oricine știe să țină un compilator, IDE-ul corect în mâinile lor și știe să pronunțe corect C++, este capabil să compileze biblioteca de care are nevoie și să o folosească conform propriei înțelegeri. Umilul tău slujitor nu este capabil de asta, așa că a trebuit să caut o soluție gata făcută.
După o oră lungă de căutare, au fost dezvăluite două opțiuni pentru rezolvarea problemei. Desigur, vorbesc despre soluția OpenSource. La urma urmei, există opțiuni plătite - de la început până la sfârșit.
Opțiunea numărul 1.
Nu au existat comiteri de aproximativ 2 ani. Instalatorul nativ funcționează din când în când, trebuie să îl corectați manual. Își creează propriul serviciu separat. Când actualizați un fișier cu parolă, DLL-ul nu preia automat conținutul modificat; trebuie să opriți serviciul, să așteptați o expirare, să editați fișierul și să porniți serviciul.
Fara gheata!
Opțiunea numărul 2.
Proiectul este activ, viu și nu este nevoie nici măcar să dai cu piciorul în corpul rece.
Instalarea filtrului presupune copierea a două fișiere și crearea mai multor intrări de registry. Fișierul cu parolă nu este blocat, adică este disponibil pentru editare și, conform ideii autorului proiectului, este pur și simplu citit o dată pe minut. De asemenea, folosind intrări suplimentare din registry, puteți configura în continuare atât filtrul în sine, cât și nuanțele politicii de parole.
Deci.
Dat: domeniul Active Directory test.local
Stația de lucru de testare Windows 8.1 (nu este importantă pentru scopul problemei)
filtru de parolă PassFiltEx
- Descărcați cea mai recentă versiune de pe link
- Copie PassFiltEx.dll в C: WindowsSystem32 (Sau, % SystemRoot% System32).
Copie PassFiltExBlacklist.txt в C: WindowsSystem32 (Sau, % SystemRoot% System32). Dacă este necesar, îl completăm cu propriile noastre șabloane
- Editarea ramurii de registru: HKLMSYSTEMCurrentControlSetControlLsa => Pachete de notificare
adăugare PassFiltEx până la sfârșitul listei. (Nu trebuie specificată extensia.) Lista completă a pachetelor utilizate pentru scanare va arăta astfel „rassfm scecli PassFiltEx“.
- Reporniți controlerul de domeniu.
- Repetăm procedura de mai sus pentru toate controlerele de domeniu.
De asemenea, puteți adăuga următoarele intrări de registry, ceea ce vă oferă mai multă flexibilitate în utilizarea acestui filtru:
Capitol: HKLMSOFTWAREPassFiltEx — este creat automat.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Implicit: PassFiltExBlacklist.txt
Lista neagrăFileName — vă permite să specificați o cale personalizată către un fișier cu șabloane de parolă. Dacă această intrare de registry este goală sau nu există, atunci este utilizată calea implicită, care este - % SystemRoot% System32. Puteți chiar să specificați o cale de rețea, DAR trebuie să vă amintiți că fișierul șablon trebuie să aibă permisiuni clare pentru citire, scriere, ștergere, modificare.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, implicit: 60
TokenPercentageOfPassword — vă permite să specificați procentul măștii în noua parolă. Valoarea implicită este 60%. De exemplu, dacă procentul de apariție este 60 și șirul Starwars este în fișierul șablon, atunci parola Starwars1! vor fi respinse în timp ce parola starwars1!DarthVader88 va fi acceptat deoarece procentul șirului din parolă este mai mic de 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, implicit: 0
RequireCharClasses — vă permite să extindeți cerințele de parolă în comparație cu cerințele standard de complexitate a parolei ActiveDirectory. Cerințele de complexitate încorporate necesită 3 din cele 5 tipuri diferite de caractere posibile: majuscule, minuscule, cifre, speciale și Unicode. Folosind această intrare de registru, vă puteți seta cerințele de complexitate a parolei. Valoarea care poate fi specificată este un set de biți, fiecare dintre ele fiind o putere corespunzătoare de doi.
Adică, 1 = litere mici, 2 = litere mari, 4 = cifră, 8 = caracter special și 16 = caracter Unicode.
Deci, cu o valoare de 7, cerințele ar fi „Majuscule” AND litere mici AND cifră”, și cu o valoare de 31 - „Majuscule AND literă mică AND figura AND simbol special AND caracter Unicode."
Puteți chiar să combinați - 19 = „Majuscule AND literă mică AND caracter Unicode." -
O serie de reguli la compilarea unui fișier șablon:
- Șabloanele nu fac distincție între majuscule și minuscule. Prin urmare, intrarea în fișier Războiul Stelelor и Razboiul Stelelor se va determina a fi aceeași valoare.
- Fișierul din lista neagră este recitit la fiecare 60 de secunde, astfel încât să îl puteți edita cu ușurință; după un minut, noile date vor fi folosite de filtru.
- În prezent, nu există suport Unicode pentru potrivirea modelelor. Adică, puteți folosi caractere Unicode în parole, dar filtrul nu va funcționa. Acest lucru nu este critic, deoarece nu am văzut utilizatori care folosesc parole Unicode.
- Este recomandabil să nu permiteți linii goale în fișierul șablon. În depanare, puteți vedea o eroare la încărcarea datelor dintr-un fișier. Filtrul funcționează, dar de ce excepțiile suplimentare?
Pentru depanare, arhiva conține fișiere batch care vă permit să creați un jurnal și apoi să îl analizați folosind, de exemplu,
Acest filtru de parolă utilizează Urmărirea evenimentelor pentru Windows.
Furnizorul ETW pentru acest filtru de parolă este 07d83223-7594-4852-babc-784803fdf6c5. Deci, de exemplu, puteți configura urmărirea evenimentelor după următoarea repornire:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Urmărirea va începe după următoarea repornire a sistemului. A opri:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Toate aceste comenzi sunt specificate în scripturi StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Pentru o verificare unică a funcționării filtrului, puteți utiliza StartTracing.cmd и StopTracing.cmd.
Pentru a citi în mod convenabil evacuarea de depanare a acestui filtru Analizor de mesaje Microsoft Se recomandă utilizarea următoarelor setări:
Când opriți conectarea și analizarea Analizor de mesaje Microsoft totul arata cam asa:
Aici puteți vedea că a existat o încercare de a seta o parolă pentru utilizator - cuvântul magic ne spune acest lucru SET în depanare. Și parola a fost respinsă din cauza prezenței sale în fișierul șablon și a se potrivi cu peste 30% în textul introdus.
Dacă se face o încercare de schimbare a parolei cu succes, vedem următoarele:
Există unele inconveniente pentru utilizatorul final. Când încercați să schimbați o parolă care este inclusă în lista de fișiere de șabloane, mesajul de pe ecran nu este diferit de mesajul standard atunci când politica de parole nu este adoptată.
Prin urmare, fiți pregătit pentru apeluri și strigăte: „Am introdus corect parola, dar nu funcționează”.
Rezumat.
Această bibliotecă vă permite să interziceți utilizarea parolelor simple sau standard într-un domeniu Active Directory. Să spunem „Nu!” parole precum: „P@ssw0rd”, „Qwerty123”, „ADm1n098”.
Da, desigur, utilizatorii vă vor iubi și mai mult pentru că aveți grijă de securitatea lor și pentru nevoia de a veni cu parole uimitoare. Și, probabil, numărul de apeluri și solicitări de ajutor cu parola dvs. va crește. Dar securitatea are un preț.
Link-uri către resursele utilizate:
Articolul despre Microsoft referitor la o bibliotecă personalizată de filtre de parole:
PassFiltEx:
Link de lansare:
Liste de parole:
DanielMiessler enumeră:
Lista de cuvinte de la weakpass.com:
Lista de cuvinte din repo berzerk0:
Analizor de mesaje Microsoft:
Sursa: www.habr.com