Njeriu, siç e dini, është një krijesë dembel.
Dhe aq më tepër kur bëhet fjalë për zgjedhjen e një fjalëkalimi të fortë.
Unë mendoj se çdo administrator është përballur ndonjëherë me problemin e përdorimit të fjalëkalimeve të lehta dhe standarde. Ky fenomen shpesh ndodh midis niveleve të larta të menaxhimit të kompanisë. Po, po, pikërisht në mesin e atyre që kanë akses në informacione sekrete ose komerciale dhe do të ishte jashtëzakonisht e padëshirueshme të eliminohen pasojat e rrjedhjeve të fjalëkalimit/hakimit dhe incidenteve të mëtejshme.
Në praktikën time, ka pasur një rast kur, në një domen Active Directory me një politikë fjalëkalimi të aktivizuar, kontabilistët në mënyrë të pavarur erdhën në idenë se një fjalëkalim si "Pas$w0rd1234" përshtatet në mënyrë të përkryer me kërkesat e politikës. Pasoja ishte përdorimi i gjerë i këtij fjalëkalimi kudo. Ndonjëherë ai ndryshonte vetëm në grupin e tij të numrave.
Doja të isha në gjendje jo vetëm të aktivizoja një politikë fjalëkalimi dhe të përcaktoja një grup karakteresh, por edhe të filtroja sipas fjalorit. Për të përjashtuar mundësinë e përdorimit të fjalëkalimeve të tilla.
Microsoft na informon me dashamirësi përmes lidhjes se kushdo që di të mbajë saktë një përpilues, IDE në duar dhe di të shqiptojë saktë C++, është në gjendje të përpilojë bibliotekën që i nevojitet dhe ta përdorë atë sipas kuptimit të tij. Shërbëtori juaj i përulur nuk është i aftë për këtë, ndaj më duhej të kërkoja një zgjidhje të gatshme.
Pas një ore të gjatë kërkimi, u zbuluan dy opsione për zgjidhjen e problemit. Unë, natyrisht, po flas për zgjidhjen OpenSource. Në fund të fundit, ka opsione me pagesë - nga fillimi në fund.
Opsioni 1.
Ka rreth 2 vjet që nuk ka asnjë angazhim. Instaluesi vendas funksionon herë pas here, duhet ta korrigjoni manualisht. Krijon shërbimin e vet të veçantë. Kur përditësoni një skedar fjalëkalimi, DLL nuk e merr automatikisht përmbajtjen e ndryshuar; duhet të ndaloni shërbimin, të prisni një afat kohor, të modifikoni skedarin dhe të filloni shërbimin.
Pa akull!
Opsioni 2.
Projekti është aktiv, i gjallë dhe nuk ka nevojë as të shkelmohet trupi i ftohtë.
Instalimi i filtrit përfshin kopjimin e dy skedarëve dhe krijimin e disa shënimeve në regjistër. Skedari i fjalëkalimit nuk është i bllokuar, domethënë është i disponueshëm për redaktim dhe, sipas idesë së autorit të projektit, thjesht lexohet një herë në minutë. Gjithashtu, duke përdorur shënime shtesë të regjistrit, mund të konfiguroni më tej si vetë filtrin ashtu edhe nuancat e politikës së fjalëkalimit.
Pra.
Jepet: Testi i domenit të Active Directory.local
Stacioni i punës testues i Windows 8.1 (jo i rëndësishëm për qëllimin e problemit)
filtri i fjalëkalimit PassFiltEx
- Shkarkoni versionin më të fundit nga lidhja
- Kopjo PassFiltEx.dll в C: WindowsSystem32 (Ose %SystemRoot%System32).
Kopjo PassFiltExBlacklist.txt в C: WindowsSystem32 (Ose %SystemRoot%System32). Nëse është e nevojshme, ne e plotësojmë atë me shabllonet tona
- Redaktimi i degës së regjistrit: HKLMSYSTEMCControlCurrentSetControlLsa => Paketat e Njoftimeve
Shtimi PassFiltEx deri në fund të listës. (Zgjatja nuk ka nevojë të specifikohet.) Lista e plotë e paketave të përdorura për skanim do të duket si kjo "rassfm scecli PassFiltEx".
- Rinisni kontrolluesin e domenit.
- Ne përsërisim procedurën e mësipërme për të gjithë kontrolluesit e domenit.
Ju gjithashtu mund të shtoni shënimet e mëposhtme të regjistrit, gjë që ju jep më shumë fleksibilitet në përdorimin e këtij filtri:
Kapitulli: HKLMSOFTWAREPassFiltEx — krijohet automatikisht.
- HKLMSOFTWAREPassFiltExBlacklistEmri i skedarit, REG_SZ, Parazgjedhja: PassFiltExBlacklist.txt
Lista e zezë Emri i skedarit — ju lejon të specifikoni një shteg të personalizuar drejt një skedari me shabllone fjalëkalimesh. Nëse kjo hyrje në regjistër është bosh ose nuk ekziston, atëherë përdoret shtegu i paracaktuar, i cili është - %SystemRoot%System32. Ju madje mund të specifikoni një shteg rrjeti, POR duhet të mbani mend se skedari i shabllonit duhet të ketë leje të qarta për lexim, shkrim, fshirje, ndryshim.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, e parazgjedhur: 60
TokenPercentageOfPassword — ju lejon të specifikoni përqindjen e maskës në fjalëkalimin e ri. Vlera e paracaktuar është 60%. Për shembull, nëse përqindja e shfaqjes është 60 dhe string starwars është në skedarin e shabllonit, atëherë fjalëkalimi Starwars1! do të refuzohet ndërsa fjalëkalimi starwars1!DarthVader88 do të pranohet sepse përqindja e vargut në fjalëkalim është më pak se 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, e parazgjedhur: 0
RequireCharClasses — ju lejon të zgjeroni kërkesat e fjalëkalimit në krahasim me kërkesat standarde të kompleksitetit të fjalëkalimit ActiveDirectory. Kërkesat e integruara të kompleksitetit kërkojnë 3 nga 5 llojet e ndryshme të karaktereve të mundshme: shkronja të mëdha, të vogla, shifra, speciale dhe unicode. Duke përdorur këtë hyrje në regjistër, mund të vendosni kërkesat e kompleksitetit të fjalëkalimit tuaj. Vlera që mund të specifikohet është një grup bitësh, secila prej të cilave është një fuqi korresponduese prej dy.
Kjo do të thotë, 1 = shkronja të vogla, 2 = shkronja të mëdha, 4 = shifra, 8 = karakter special dhe 16 = karakter Unicode.
Pra, me një vlerë prej 7 kërkesat do të ishin "Raza e sipërme" DHE shkronja të vogla DHE shifër”, dhe me vlerë 31 - “Shkronja e madhe DHE shkronja të vogla DHE figurë DHE simbol i veçantë DHE Karakteri Unicode."
Ju madje mund të kombinoni - 19 = "Shkapa e madhe DHE shkronja të vogla DHE Karakteri Unicode." -
Një numër rregullash kur përpiloni një skedar shabllon:
- Modelet janë të pandjeshme ndaj shkronjave të vogla. Prandaj, hyrja e skedarit Starwars и Lufta e Yjeve do të përcaktohet të jetë e njëjta vlerë.
- Skedari i listës së zezë rilexohet çdo 60 sekonda, kështu që mund ta modifikoni lehtësisht; pas një minute, të dhënat e reja do të përdoren nga filtri.
- Aktualisht nuk ka mbështetje Unicode për përputhjen e modeleve. Kjo do të thotë, mund të përdorni karaktere Unicode në fjalëkalime, por filtri nuk do të funksionojë. Kjo nuk është kritike, sepse nuk kam parë përdorues që përdorin fjalëkalime të Unicode.
- Këshillohet që të mos lejoni linja boshe në skedarin e shabllonit. Në korrigjimin e gabimeve, atëherë mund të shihni një gabim kur ngarkoni të dhënat nga një skedar. Filtri funksionon, por pse ka përjashtime shtesë?
Për korrigjimin e gabimeve, arkivi përmban skedarë grupi që ju lejojnë të krijoni një regjistër dhe më pas ta analizoni atë duke përdorur, për shembull,
Ky filtër i fjalëkalimit përdor gjurmimin e ngjarjeve për Windows.
Ofruesi ETW për këtë filtër fjalëkalimi është 07d83223-7594-4852-babc-784803fdf6c5. Kështu, për shembull, mund të konfiguroni gjurmimin e ngjarjeve pas rindezjes së mëposhtme:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Gjurmimi do të fillojë pas rindezjes tjetër të sistemit. Të ndalosh:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Të gjitha këto komanda janë të specifikuara në skriptet StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Për një kontroll një herë të funksionimit të filtrit, mund të përdorni StartTracing.cmd и StopTracing.cmd.
Për të lexuar me lehtësi shkarkimin e korrigjimit të këtij filtri Microsoft Message Analyzer Rekomandohet të përdorni cilësimet e mëposhtme:
Kur ndaloni hyrjen dhe analizimin Microsoft Message Analyzer gjithçka duket diçka si kjo:
Këtu mund të shihni se ka pasur një përpjekje për të vendosur një fjalëkalim për përdoruesin - fjala magjike na tregon këtë SET në korrigjimin e gabimeve. Dhe fjalëkalimi u refuzua për shkak të pranisë së tij në skedarin e shabllonit dhe më shumë se 30% përputhje në tekstin e futur.
Nëse bëhet një përpjekje e suksesshme për ndryshimin e fjalëkalimit, ne shohim sa vijon:
Ka disa shqetësime për përdoruesin përfundimtar. Kur përpiqeni të ndryshoni një fjalëkalim që përfshihet në listën e skedarit të shablloneve, mesazhi në ekran nuk ndryshon nga mesazhi standard kur politika e fjalëkalimit nuk kalon.
Prandaj, përgatituni për thirrje dhe thirrje: "Kam futur fjalëkalimin saktë, por nuk funksionon".
Rezultati.
Kjo bibliotekë ju lejon të ndaloni përdorimin e fjalëkalimeve të thjeshta ose standarde në një domen Active Directory. Le të themi "Jo!" fjalëkalime si: "P@ssw0rd", "Qwerty123", "ADm1n098".
Po, sigurisht, përdoruesit do t'ju duan edhe më shumë për t'u kujdesur për sigurinë e tyre dhe nevojën për të krijuar fjalëkalime marramendëse. Dhe, ndoshta, numri i thirrjeve dhe kërkesave për ndihmë me fjalëkalimin tuaj do të rritet. Por siguria ka një çmim.
Lidhje me burimet e përdorura:
Artikulli i Microsoft në lidhje me një bibliotekë të personalizuar të filtrit të fjalëkalimeve:
PassFiltEx:
Lidhja e publikimit:
Listat e fjalëkalimeve:
Lista e DanielMiessler:
Lista e fjalëve nga slowpass.com:
Lista e fjalëve nga repo berzerk0:
Analizuesi i mesazheve të Microsoft:
Burimi: www.habr.com