معياري پاسورڊ کي ڪيئن روڪيو وڃي ۽ هر ڪنهن کي توهان کان نفرت ڪجي

انسان، جيئن توهان کي خبر آهي، هڪ سست مخلوق آهي.
۽ اڃا به وڌيڪ، جڏهن اهو هڪ مضبوط پاسورڊ چونڊڻ لاء اچي ٿو.

منهنجو خيال آهي ته هر منتظم ڪڏهن به روشني ۽ معياري پاسورڊ استعمال ڪرڻ جي مسئلي کي منهن ڏنو آهي. اهو رجحان اڪثر ڪري ڪمپني جي انتظام جي مٿين ايچلن جي وچ ۾ ٿئي ٿو. ها، ها، بلڪل انهن مان جن کي ڳجهي يا تجارتي معلومات تائين رسائي آهي ۽ اهو انتهائي ناپسنديده هوندو ته پاسورڊ ليڪ/هيڪنگ ۽ وڌيڪ واقعن جي نتيجن کي ختم ڪرڻ.

منهنجي عمل ۾، اتي هڪ ڪيس هو جڏهن، هڪ فعال ڊاريڪٽري ڊومين ۾ پاسورڊ پاليسي سان فعال، اڪائونٽنٽ آزاديءَ سان اهو خيال آيو ته هڪ پاس ورڊ جهڙو ”Pas$w0rd1234“ پاليسي جي گهرج پوري ڪري ٿو. نتيجو اهو نڪتو ته هن پاسورڊ جو هر هنڌ وسيع استعمال. ڪڏهن ڪڏهن هو صرف پنهنجي انگن جي سيٽ ۾ اختلاف ڪندو هو.

مان واقعي چاهيان ٿو ته نه صرف هڪ پاسورڊ پاليسي کي فعال ڪرڻ ۽ هڪ ڪردار سيٽ جي وضاحت ڪرڻ جي قابل ٿي، پر لغت ذريعي فلٽر پڻ. اهڙي پاسورڊ استعمال ڪرڻ جي امڪان کي خارج ڪرڻ لاء.

Microsoft مھرباني ڪري اسان کي لنڪ ذريعي ڄاڻ ڏئي ٿو ته ڪو به ماڻھو جيڪو ڄاڻندو آھي ته ڪِپائيلر ڪيئن رکڻو آھي، IDE صحيح طرح پنھنجي ھٿن ۾ ۽ ڄاڻندو آھي C++ جو صحيح تلفظ ڪھڙيءَ ريت ڪجي، اھو لئبرريءَ کي گڏ ڪرڻ جي قابل آھي جنھن جي ضرورت آھي ۽ ان کي پنھنجي سمجھ مطابق استعمال ڪري. تنهنجو عاجز خادم ان قابل نه آهي، تنهنڪري مون کي هڪ تيار ٿيل حل ڳولڻو پيو.

ڪافي ڪلاڪ جي ڳولا کان پوءِ، مسئلو حل ڪرڻ لاءِ ٻه آپشن سامهون آيا. مان، يقينا، اوپن سورس حل بابت ڳالهائي رهيو آهيان. آخرڪار، ادا ڪيل اختيارن وارا آهن - شروع کان ختم ٿيڻ تائين.

اختيار نمبر 1. OpenPasswordFilter

اٽڪل 2 سالن کان ڪو به ڪم نه ڪيو ويو آهي اصلي انسٽالر هر وقت ڪم ڪري ٿو، توهان کي دستي طور تي درست ڪرڻو پوندو. پنهنجي الڳ خدمت ٺاهي ٿو. جڏهن پاسورڊ فائل کي اپڊيٽ ڪيو وڃي، DLL خودڪار طريقي سان تبديل ٿيل مواد نه کڻندو آهي، توهان کي خدمت کي روڪڻ جي ضرورت آهي، وقت ختم ٿيڻ جو انتظار ڪريو، فائل کي تبديل ڪريو، ۽ خدمت شروع ڪريو.

برف ناهي!

اختيار نمبر 2. PassFiltEx

پروجيڪٽ فعال، زنده آهي ۽ ٿڌي جسم کي لتائڻ جي ڪا ضرورت ناهي.
فلٽر کي نصب ڪرڻ ۾ ٻه فائلون نقل ڪرڻ ۽ ڪيترن ئي رجسٽري داخل ٿيڻ شامل آهن. پاسورڊ فائل هڪ تالا ۾ نه آهي، اهو آهي، اهو ايڊٽ ڪرڻ لاء دستياب آهي ۽، پروجيڪٽ جي ليکڪ جي خيال موجب، اهو صرف هڪ منٽ ۾ هڪ ڀيرو پڙهيو وڃي ٿو. انهي سان گڏ، اضافي رجسٽري داخلن کي استعمال ڪندي، توهان وڌيڪ ترتيب ڏئي سگهو ٿا ٻئي فلٽر پاڻ ۽ پاس ورڊ پاليسي جي nuances به.

ائين
ڏنو ويو: فعال ڊاريڪٽري ڊومين test.local
ونڊوز 8.1 ٽيسٽ ورڪ اسٽيشن (مسئلو جي مقصد لاء اهم ناهي)
پاسورڊ فلٽر PassFiltEx

• لنڪ تان تازو رليز ڊائون لوڊ ڪريو PassFiltEx
• ڪاپي PassFiltEx.dll в سي: WindowsSystem32 (يا سسٽم روٽ٪ سسٽم 32).
  ڪاپي PassFiltExBlacklist.txt в سي: WindowsSystem32 (يا سسٽم روٽ٪ سسٽم 32). جيڪڏهن ضروري هجي ته، اسان ان کي اسان جي پنهنجي ٽيمپليٽ سان گڏ ڪنداسين
  
• رجسٽري برانچ کي تبديل ڪندي: HKLMSYSTECurrentControlSetControlLsa => نوٽيفڪيشن پيڪيجز
  شامل ڪريو PassFiltEx فهرست جي آخر تائين. (وڌائڻ جي ضرورت ناهي.) اسڪيننگ لاءِ استعمال ٿيل پيڪيجز جي مڪمل فهرست هن طرح نظر ايندي“rassfm scecli PassFiltEx".
  
• ڊومين ڪنٽرولر کي ريبوٽ ڪريو.
• اسان سڀني ڊومين ڪنٽرولرز لاءِ مٿي ڏنل عمل کي ورجائيندا آهيون.

توھان پڻ شامل ڪري سگھو ٿا ھيٺيون رجسٽري داخلا، جيڪو توھان کي ھن فلٽر کي استعمال ڪرڻ ۾ وڌيڪ لچڪ ڏئي ٿو:

باب: HKLMSOFTWAREPassFiltEx - خودڪار طور تي ٺهيل آهي.

• HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ، ڊفالٽ: PassFiltExBlacklist.txt

  BlacklistFileName - توھان کي اجازت ڏئي ٿو ھڪڙي ڪسٽم رستو بيان ڪرڻ جي ھڪڙي فائل کي پاسورڊ ٽيمپليٽ سان. جيڪڏهن هي رجسٽري داخلا خالي آهي يا موجود ناهي، ته پوءِ ڊفالٽ رستو استعمال ڪيو ويندو، جيڪو آهي - سسٽم روٽ٪ سسٽم 32. توھان ھڪڙو نيٽ ورڪ رستو به بيان ڪري سگھو ٿا، پر توھان کي ياد رکڻ گھرجي ته ٽيمپليٽ فائل کي پڙھڻ، لکڻ، حذف ڪرڻ، تبديل ڪرڻ لاءِ واضح اجازتون ھجن.

• HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD، ڊفالٽ: 60

  TokenPercentageOfPassword - توهان کي نئين پاسورڊ ۾ ماسڪ جو سيڪڙو بيان ڪرڻ جي اجازت ڏئي ٿي. ڊفالٽ قيمت 60٪ آهي. مثال طور، جيڪڏهن فيصد جي موجودگي 60 آهي ۽ اسٽرنگ اسٽاروارز ٽيمپليٽ فائل ۾ آهي، پوء پاسورڊ اسٽار وار1! رد ڪيو ويندو جڏهن پاسورڊ starwars1!DarthVader88 قبول ڪيو ويندو ڇاڪاڻ ته پاسورڊ ۾ اسٽرنگ جو سيڪڙو 60٪ کان گهٽ آهي

• HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD، ڊفالٽ: 0

  CharClasses جي ضرورت آهي - توهان کي معياري ActiveDirectory پاسورڊ جي پيچيدگي جي ضرورتن جي مقابلي ۾ پاسورڊ گهرجن کي وڌائڻ جي اجازت ڏئي ٿي. تعمير ٿيل پيچيدگي جي گهرج جي ضرورت آهي 3 مان 5 ممڪن مختلف قسم جا اکر: اپر ڪيس، لوئر ڪيس، ڊيجيٽ، خاص، ۽ يونيڪوڊ. هن رجسٽري داخلا کي استعمال ڪندي، توهان سيٽ ڪري سگهو ٿا توهان جي پاسورڊ پيچيدگي جي گهرج. قيمت جيڪا بيان ڪري سگهجي ٿي سا بٽ جو هڪ سيٽ آهي، جن مان هر هڪ ٻن جي برابر طاقت آهي.
  اهو آهي، 1 = ننڍو، 2 = وڏو، 4 = عدد، 8 = خاص اکر، ۽ 16 = يونيڪوڊ اکر.
  تنهنڪري 7 جي قيمت سان گهرجون هونديون ”اپر ڪيس“ ۽ ننڍو اکر ۽ انگ"، ۽ 31 جي قيمت سان - "اپر ڪيس ۽ ننڍو ڪيس ۽ عدد ۽ خاص علامت ۽ يونيڪوڊ ڪردار."
  توھان پڻ گڏ ڪري سگھو ٿا - 19 = "اپر ڪيس ۽ ننڍو ڪيس ۽ يونيڪوڊ ڪردار."

• 

ٽيمپليٽ فائل ٺاهڻ وقت ڪيترائي ضابطا:

• ٽيمپليٽ ڪيس غير حساس آهن. تنهن ڪري، فائل داخلا تارن جي جنگ и تارن جي جنگ ساڳيو قدر مقرر ڪيو ويندو.
• بليڪ لسٽ فائل هر 60 سيڪنڊن ۾ ٻيهر پڙهي ويندي آهي، تنهنڪري توهان ان کي آساني سان تبديل ڪري سگهو ٿا، هڪ منٽ کان پوء، نئين ڊيٽا کي فلٽر ذريعي استعمال ڪيو ويندو.
• في الحال ڪوبه يونيڪوڊ سپورٽ نه آهي نمونن جي ميلاپ لاءِ. اهو آهي، توهان پاسورڊ ۾ يونيڪوڊ اکر استعمال ڪري سگهو ٿا، پر فلٽر ڪم نه ڪندو. اهو نازڪ نه آهي، ڇاڪاڻ ته مون انهن صارفين کي نه ڏٺو آهي جيڪي يونيڪوڊ پاسورڊ استعمال ڪندا آهن.
• اها صلاح ڏني وئي آهي ته ٽيمپليٽ فائل ۾ خالي لائينن کي اجازت نه ڏيو. ڊيبگ ۾ توهان هڪ غلطي ڏسي سگهو ٿا جڏهن فائل مان ڊيٽا لوڊ ڪندي. فلٽر ڪم ڪري ٿو، پر اضافي استثنا ڇو؟

ڊيبگنگ لاءِ، آرڪائيو ۾ بيچ فائلون شامل آھن جيڪي توھان کي لاگ ٺاھڻ جي اجازت ڏين ٿيون ۽ پوءِ ان کي استعمال ڪندي پارس ڪريو، مثال طور، Microsoft پيغام تجزيه ڪندڙ.
هي پاسورڊ فلٽر ونڊوز لاءِ ايونٽ ٽريڪنگ استعمال ڪري ٿو.

هن پاسورڊ فلٽر لاءِ ETW فراهم ڪندڙ آهي 07d83223-7594-4852-babc-784803fdf6c5. تنهن ڪري، مثال طور، توهان هيٺ ڏنل ريبوٽ کانپوء واقعي جي ٽريڪنگ ترتيب ڏئي سگهو ٿا:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

ايندڙ سسٽم ريبوٽ کان پوء ٽريڪنگ شروع ٿيندي. روڪڻ:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
اهي سڀئي حڪم اسڪرپٽ ۾ بيان ڪيا ويا آهن StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

فلٽر آپريشن جي ھڪڙي وقت جي چڪاس لاء، توھان استعمال ڪري سگھو ٿا StartTracing.cmd и StopTracing.cmd.
هن فلٽر جي ڊيبگ ايڪسسٽ کي آسانيءَ سان پڙهڻ لاءِ Microsoft نياپو تجزيي ڪندڙ اهو هيٺين سيٽنگون استعمال ڪرڻ جي صلاح ڏني آهي:

جڏهن لاگنگ کي روڪيو ۽ پارسنگ ۾ Microsoft نياپو تجزيي ڪندڙ هر شيء هن وانگر نظر اچي ٿو:

هتي توهان ڏسي سگهو ٿا ته استعمال ڪندڙ لاء هڪ پاس ورڊ مقرر ڪرڻ جي ڪوشش ڪئي وئي آهي - جادو لفظ اسان کي ٻڌائي ٿو قائم ڊيبگ ۾. ۽ پاسورڊ رد ڪيو ويو ان جي ٽيمپليٽ فائل ۾ موجودگي جي ڪري ۽ داخل ٿيل متن ۾ 30٪ کان وڌيڪ ميچ.

جيڪڏهن هڪ ڪامياب پاسورڊ تبديل ڪرڻ جي ڪوشش ڪئي وئي آهي، اسان هيٺ ڏجن ٿا:

آخري استعمال ڪندڙ لاء ڪجهه تڪليف آهي. جڏهن توهان پاسورڊ تبديل ڪرڻ جي ڪوشش ڪندا آهيو جيڪو ٽيمپليٽ فائل جي لسٽ ۾ شامل آهي، اسڪرين تي پيغام معياري پيغام کان مختلف ناهي جڏهن پاسورڊ پاليسي پاس نه ڪئي وئي آهي.

تنهن ڪري، ڪالن لاء تيار ٿي وڃو ۽ شور: "مون پاسورڊ صحيح داخل ڪيو، پر اهو ڪم نٿو ڪري."

هيٺين لائن.

هي لائبريري توهان کي اجازت ڏئي ٿي ته هڪ Active Directory ڊومين ۾ سادي يا معياري پاسورڊ استعمال ڪرڻ کان منع ڪري. اچو ته "نه!" پاسورڊ جهڙوڪ: “P@ssw0rd”، “Qwerty123”، “ADm1n098”.
ها، يقينا، صارف توهان کي وڌيڪ پيار ڪندا ته جيئن انهن جي حفاظت جو خيال رکڻ ۽ ذهن ۾ اڀرندڙ پاسورڊ سان اچڻ جي ضرورت آهي. ۽، شايد، توهان جي پاسورڊ سان مدد لاءِ ڪالن ۽ درخواستن جو تعداد وڌندو. پر سيڪيورٽي قيمت تي اچي ٿي.

استعمال ٿيل وسيلن جي لنڪ:
Microsoft آرٽيڪل هڪ ڪسٽم پاسورڊ فلٽر لائبريري بابت: پاسورڊ فلٽر
PassFiltEx: PassFiltEx
رليز لنڪ: جديد ريسرچ
پاسورڊ لسٽون:
DanielMiessler فهرست: ڪڙي
weakpass.com کان لفظ فهرست: ڪڙي
berzerk0 repo کان لفظ فهرست: ڪڙي
Microsoft پيغام تجزيه ڪندڙ: Microsoft پيغام تجزيه ڪندڙ.

جو ذريعو: www.habr.com