සම්මත මුරපද තහනම් කරන්නේ කෙසේද සහ සියලු දෙනා ඔබට වෛර කරන්නේ කෙසේද?

මිනිසා, ඔබ දන්නා පරිදි, කම්මැලි සත්වයෙකි.
ඊටත් වඩා ශක්තිමත් මුරපදයක් තෝරාගැනීමේදී.

මම හිතන්නේ සෑම පරිපාලකයෙක්ම සැහැල්ලු සහ සම්මත මුරපද භාවිතා කිරීමේ ගැටලුවට මුහුණ දී ඇත. මෙම සංසිද්ධිය බොහෝ විට සමාගම් කළමනාකාරිත්වයේ ඉහළ ස්ථරයන් අතර සිදු වේ. ඔව්, ඔව්, නිශ්චිතවම රහසිගත හෝ වාණිජ තොරතුරු සඳහා ප්‍රවේශය ඇති අය අතර සහ මුරපද කාන්දුවීම්/හැක් කිරීම් සහ තවත් සිදුවීම්වල ප්‍රතිවිපාක ඉවත් කිරීම අතිශයින්ම නුසුදුසු වනු ඇත.

මගේ භාවිතයේදී, මුරපද ප්‍රතිපත්තියක් සක්‍රීය කර ඇති Active Directory වසමක, "Pas$w0rd1234" වැනි මුරපදයක් ප්‍රතිපත්ති අවශ්‍යතාවලට හොඳින් ගැලපෙන බවට ගණකාධිකාරීවරුන් ස්වාධීනව අදහසට පැමිණි අවස්ථාවක් තිබේ. එහි ප්‍රතිඵලය වූයේ මෙම මුරපදය සෑම තැනකම බහුලව භාවිතා වීමයි. සමහර විට ඔහු වෙනස් වූයේ ඔහුගේ ඉලක්කම් කට්ටලයේ පමණි.

මට ඇත්තටම අවශ්‍ය වූයේ මුරපද ප්‍රතිපත්තියක් සක්‍රීය කිරීමට සහ අක්ෂර කට්ටලයක් නිර්වචනය කිරීමට පමණක් නොව, ශබ්දකෝෂය අනුව පෙරීමටද හැකි වීමටය. එවැනි මුරපද භාවිතා කිරීමේ හැකියාව බැහැර කිරීමට.

compiler, IDE නිවැරදිව අතේ තබා ගැනීමට දන්නා සහ C++ නිවැරදිව උච්චාරණය කිරීමට දන්නා ඕනෑම කෙනෙකුට තමන්ට අවශ්‍ය පුස්තකාලය සම්පාදනය කර එය තම අවබෝධය අනුව භාවිතා කිරීමට හැකි බව Microsoft ලින්ක් එක හරහා අපට කාරුණිකව දන්වයි. ඔබේ නිහතමානී සේවකයාට මේ සඳහා හැකියාවක් නැත, එබැවින් මට සූදානම් කළ විසඳුමක් සෙවීමට සිදු විය.

පැයක කාලයක් සෙවීමෙන් පසු ගැටලුව විසඳීම සඳහා විකල්ප දෙකක් අනාවරණය විය. ඇත්ත වශයෙන්ම, මම OpenSource විසඳුම ගැන කතා කරමි. සියල්ලට පසු, ගෙවුම් විකල්ප තිබේ - ආරම්භයේ සිට අවසානය දක්වා.

විකල්ප අංක 1. OpenPasswordFilter

දැන් අවුරුදු 2ක විතර ඉඳන් කිසිම කැපවීමක් නෑ.. නේටිව් ඉන්ස්ටෝලර් එක ඉඳලා හිටලා වැඩ කරනවා, ඒක අතින් නිවැරදි කරන්න වෙනවා. තමන්ගේම වෙනම සේවාවක් නිර්මාණය කරයි. මුරපද ගොනුවක් යාවත්කාලීන කරන විට, DLL ස්වයංක්‍රීයව වෙනස් කළ අන්තර්ගතය ලබා නොගනී; ඔබට සේවාව නැවැත්වීමට, කල් ඉකුත්වීමට රැඳී සිටීමට, ගොනුව සංස්කරණය කිරීමට සහ සේවාව ආරම්භ කිරීමට අවශ්‍ය වේ.

අයිස් නැහැ!

විකල්ප අංක 2. PassFiltEx

ව්‍යාපෘතිය ක්‍රියාකාරී, ජීවමාන වන අතර සීතල ශරීරයට පයින් ගැසීම පවා අවශ්‍ය නොවේ.
පෙරහන ස්ථාපනය කිරීම ගොනු දෙකක් පිටපත් කිරීම සහ රෙජිස්ට්රි ඇතුළත් කිරීම් කිහිපයක් නිර්මාණය කිරීම ඇතුළත් වේ. මුරපද ගොනුව අගුලක නොමැත, එනම්, එය සංස්කරණය සඳහා ලබා ගත හැකි අතර, ව්‍යාපෘතියේ කතුවරයාගේ අදහස අනුව, එය සරලව මිනිත්තුවකට වරක් කියවනු ලැබේ. එසේම, අතිරේක රෙජිස්ට්‍රි ඇතුළත් කිරීම් භාවිතයෙන්, ඔබට පෙරහන දෙකම සහ මුරපද ප්‍රතිපත්තියේ සූක්ෂ්මතා පවා වින්‍යාසගත කළ හැක.

හොඳයි, එහෙනම්.
ලබා දී ඇත: Active Directory domain test.local
Windows 8.1 පරීක්ෂණ වැඩපොළ (ගැටළුවේ අරමුණ සඳහා වැදගත් නොවේ)
මුරපද පෙරහන PassFiltEx

• සබැඳියෙන් නවතම නිකුතුව බාගන්න PassFiltEx
• පිටපත් කරන්න PassFiltEx.dll в C: WindowsSystem32 (හෝ %SystemRoot%System32).
  පිටපත් කරන්න PassFiltExBlacklist.txt в C: WindowsSystem32 (හෝ %SystemRoot%System32) අවශ්ය නම්, අපි එය අපගේම සැකිලි සමඟ අතිරේක කරමු
  
• රෙජිස්ට්රි ශාඛාව සංස්කරණය කිරීම: HKLMSYSTEMCcurrentControlSetControlLsa => දැනුම්දීම් පැකේජ
  එකතු කරන්න PassFiltEx ලැයිස්තුවේ අවසානය දක්වා. (දිගුව සඳහන් කිරීමට අවශ්‍ය නැත.) ස්කෑන් කිරීම සඳහා භාවිතා කරන සම්පූර්ණ පැකේජ ලැයිස්තුව මේ ආකාරයෙන් පෙනෙනු ඇත "rassfm secli PassFiltEx«.
  
• වසම් පාලකය නැවත ආරම්භ කරන්න.
• සියලුම වසම් පාලකයන් සඳහා අපි ඉහත ක්‍රියා පටිපාටිය නැවත කරන්නෙමු.

ඔබට මෙම පෙරහන භාවිතා කිරීමේදී වඩාත් නම්‍යශීලී බවක් ලබා දෙන පහත රෙජිස්ට්‍රි ඇතුළත් කිරීම් ද එක් කළ හැක:

පරිච්ඡේදය: HKLMSOFTWAREPassFiltEx - ස්වයංක්රීයව නිර්මාණය වේ.

• HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, පෙරනිමිය: PassFiltExBlacklist.txt

  BlacklistFileName — මුරපද සැකිලි සහිත ගොනුවකට අභිරුචි මාර්ගයක් නියම කිරීමට ඔබට ඉඩ සලසයි. මෙම රෙජිස්ට්‍රි ප්‍රවේශය හිස් නම් හෝ නොපවතියි නම්, පෙරනිමි මාර්ගය භාවිතා වේ, එනම් - %SystemRoot%System32. ඔබට ජාල මාර්ගයක් පවා නියම කළ හැකිය, නමුත් සැකිලි ගොනුව කියවීමට, ලිවීමට, මකා දැමීමට, වෙනස් කිරීමට පැහැදිලි අවසර තිබිය යුතු බව ඔබ මතක තබා ගත යුතුය.

• HKLMSOFTWAREPassFiltExTokenPercentageOf Password, REG_DWORD, පෙරනිමිය: 60

  මුරපදයේ ටෝකන් ප්‍රතිශතය — නව මුරපදයේ වෙස් මුහුණේ ප්‍රතිශතය නියම කිරීමට ඔබට ඉඩ සලසයි. පෙරනිමි අගය 60% කි. උදාහරණයක් ලෙස, ප්‍රතිශත සිදුවීම 60 නම් සහ string starwars ටෙම්ප්ලේට් ගොනුවේ තිබේ නම්, මුරපදය Starwars1! මුරපදය තිබියදී ප්රතික්ෂේප කරනු ලැබේ starwars1!DarthVader88 මුරපදයේ තන්තුවෙහි ප්‍රතිශතය 60% ට වඩා අඩු බැවින් පිළිගනු ලැබේ

• HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, පෙරනිමිය: 0

  CharClasses අවශ්‍යයි — සම්මත ActiveDirectory මුරපද සංකීර්ණතා අවශ්‍යතා හා සසඳන විට මුරපද අවශ්‍යතා පුළුල් කිරීමට ඔබට ඉඩ සලසයි. ගොඩනඟන ලද සංකීර්ණතා අවශ්‍යතා සඳහා විවිධ ආකාරයේ අක්ෂර 3න් 5ක් අවශ්‍ය වේ: ලොකු අකුරු, කුඩා අකුරු, ඉලක්කම්, විශේෂ සහ යුනිකෝඩ්. මෙම රෙජිස්ට්‍රි ප්‍රවේශය භාවිතයෙන්, ඔබට ඔබගේ මුරපද සංකීර්ණතා අවශ්‍යතා සැකසිය හැක. නියම කළ හැකි අගය බිටු කට්ටලයක් වන අතර, ඒ සෑම එකක්ම අනුරූප දෙකක බලයකි.
  එනම් - 1 = කුඩා අකුරු, 2 = ලොකු අකුරු, 4 = ඉලක්කම්, 8 = විශේෂ අක්ෂරය සහ 16 = යුනිකෝඩ් අක්ෂරය.
  එබැවින් 7 අගයක් සමඟ අවශ්‍යතා "ඉහළ අකුරු" වනු ඇත සහ කුඩා අකුරු සහ ඉලක්කම්", සහ 31 අගයක් සහිත - "ඉහළ අකුරු සහ කුඩා නඩුව සහ ඉලක්කම් සහ විශේෂ සංකේතය සහ යුනිකෝඩ් අක්ෂරය."
  ඔබට ඒකාබද්ධ කළ හැකිය - 19 = “ඉහළ නඩුව සහ කුඩා නඩුව සහ යුනිකෝඩ් අක්ෂරය."

• 

සැකිලි ගොනුවක් සෑදීමේදී නීති කිහිපයක්:

• සැකිලි සිද්ධි සංවේදී නොවේ. එබැවින්, ගොනු ඇතුළත් කිරීම තාරකා යුද්ධ и තාරකා යුද්ධ එකම අගය ලෙස තීරණය කරනු ඇත.
• අසාදු ලේඛන ගොනුව සෑම තත්පර 60කට වරක් නැවත කියවනු ලැබේ, එබැවින් ඔබට එය පහසුවෙන් සංස්කරණය කළ හැකිය; මිනිත්තුවකට පසු, පෙරහන මඟින් නව දත්ත භාවිතා කරනු ඇත.
• රටා ගැලපීම සඳහා දැනට යුනිකෝඩ් සහායක් නොමැත. එනම්, ඔබට මුරපදවල යුනිකෝඩ් අක්ෂර භාවිතා කළ හැකිය, නමුත් පෙරහන ක්රියා නොකරනු ඇත. මෙය විවේචනාත්මක නොවේ, මන්ද යුනිකෝඩ් මුරපද භාවිතා කරන පරිශීලකයින් මා දැක නැති බැවිනි.
• සැකිලි ගොනුවේ හිස් රේඛා ඉඩ නොදීම සුදුසුය. නිදොස්කරණයේදී ඔබට ගොනුවකින් දත්ත පූරණය කිරීමේදී දෝෂයක් දැකිය හැක. පෙරහන ක්රියා කරයි, නමුත් අමතර ව්යතිරේක ඇයි?

නිදොස්කරණය සඳහා, සංරක්ෂිතයේ ඔබට ලොගයක් නිර්මාණය කිරීමට ඉඩ සලසන කණ්ඩායම් ගොනු අඩංගු වේ, උදාහරණයක් ලෙස, Microsoft Message Analyzer.
මෙම මුරපද පෙරහන Windows සඳහා Event Tracing භාවිතා කරයි.

මෙම මුරපද පෙරහන සඳහා ETW සපයන්නා වේ 07d83223-7594-4852-babc-784803fdf6c5. එබැවින්, උදාහරණයක් ලෙස, ඔබට පහත නැවත පණගැන්වීමෙන් පසු සිදුවීම් ලුහුබැඳීම වින්‍යාසගත කළ හැක:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

ඊළඟ පද්ධතිය නැවත පණගැන්වීමෙන් පසු ලුහුබැඳීම ආරම්භ වේ. නතර කිරීමට:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
මෙම විධාන සියල්ල ස්ක්‍රිප්ට් වල දක්වා ඇත StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.

පෙරහන් මෙහෙයුමේ එක් වරක් පරීක්ෂා කිරීම සඳහා, ඔබට භාවිතා කළ හැකිය StartTracing.cmd и StopTracing.cmd.
මෙම ෆිල්ටරයේ දෝශ නිරාකරණය පහසුවෙන් කියවීම සඳහා මයික්රොසොෆ්ට් පණිවිඩ විශ්ලේෂකය පහත සැකසුම් භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ:

ලොග් වීම සහ විග්‍රහ කිරීම නවත්වන විට මයික්රොසොෆ්ට් පණිවිඩ විශ්ලේෂකය සෑම දෙයක්ම මේ වගේ දෙයක් පෙනේ:

පරිශීලකයා සඳහා මුරපදයක් සැකසීමට උත්සාහයක් ඇති බව මෙහිදී ඔබට දැක ගත හැකිය - මැජික් වචනය අපට මෙය කියයි SET නිදොස්කරණයේදී. තවද මුරපදය සැකිලි ගොනුවේ තිබීම සහ ඇතුළත් කළ පෙළෙහි 30% කට වඩා ගැලපීම හේතුවෙන් එය ප්‍රතික්ෂේප විය.

සාර්ථක මුරපද වෙනස් කිරීමේ උත්සාහයක් සිදු කළහොත්, අපට පහත දෑ පෙනේ:

අවසාන පරිශීලකයාට යම් අපහසුතාවයක් ඇත. ඔබ සැකිලි ගොනු ලැයිස්තුවට ඇතුළත් කර ඇති මුරපදයක් වෙනස් කිරීමට උත්සාහ කරන විට, මුරපද ප්‍රතිපත්තිය සම්මත කර නොමැති විට තිරයේ ඇති පණිවිඩය සම්මත පණිවිඩයෙන් වෙනස් නොවේ.

එමනිසා, ඇමතුම් සහ කෑගැසීම් සඳහා සූදානම්ව සිටින්න: "මම මුරපදය නිවැරදිව ඇතුළත් කළෙමි, නමුත් එය ක්රියා නොකරයි."

ප්රති result ලය.

මෙම පුස්තකාලය මඟින් Active Directory වසමක සරල හෝ සම්මත මුරපද භාවිතය තහනම් කිරීමට ඔබට ඉඩ සලසයි. අපි කියමු "නැහැ!" මුරපද වැනි: "P@ssw0rd", "Qwerty123", "ADm1n098".
ඔව්, ඇත්ත වශයෙන්ම, පරිශීලකයින් ඔවුන්ගේ ආරක්ෂාව සහ මනස්කාන්ත මුරපද ඉදිරිපත් කිරීමේ අවශ්‍යතාවය ගැන එවැනි සැලකිල්ලක් දැක්වීම නිසා ඔබට ඊටත් වඩා ආදරය කරනු ඇත. තවද, සමහර විට, ඔබගේ මුරපදය සමඟ උදව් සඳහා ඇමතුම් සහ ඉල්ලීම් සංඛ්යාව වැඩි වනු ඇත. නමුත් ආරක්ෂාව මිලකට පැමිණේ.

භාවිතා කළ සම්පත් වෙත සබැඳි:
අභිරුචි මුරපද පෙරහන් පුස්තකාලයක් සම්බන්ධයෙන් Microsoft ලිපිය: මුරපද පෙරහන්
PassFiltEx: PassFiltEx
මුදා හැරීමේ සබැඳිය: නවතම නිකුතුව
මුරපද ලැයිස්තු:
DanielMiessler ලැයිස්තුගත කරයි: සබැඳිය.
Weakpass.com වෙතින් වචන ලැයිස්තුව: සබැඳිය.
berzerk0 repo වෙතින් වචන ලැයිස්තුව: සබැඳිය.
Microsoft Message Analyzer: Microsoft Message Analyzer.

මූලාශ්රය: www.habr.com