Човек је, као што знате, лењо створење.
И још више када је у питању избор јаке лозинке.
Мислим да се сваки администратор икада суочио са проблемом коришћења лаких и стандардних лозинки. Овај феномен се често јавља међу вишим ешалонима менаџмента компаније. Да, да, управо међу онима који имају приступ тајним или комерцијалним информацијама и било би крајње непожељно да се отклоне последице цурења/хаковања лозинки и даљих инцидената.
У мојој пракси, постојао је случај када су, у домену Ацтиве Дирецтори са омогућеном политиком лозинке, рачуновође независно дошло до идеје да лозинка попут „Пас$в0рд1234“ савршено одговара захтевима политике. Последица је била распрострањена употреба ове лозинке свуда. Понекад се разликовао само по свом скупу бројева.
Заиста сам желео да могу не само да омогућим политику лозинке и дефинишем скуп знакова, већ и да филтрирам по речнику. Да се искључи могућност коришћења таквих лозинки.
Мајкрософт нас љубазно обавештава преко линка да свако ко зна да држи компајлер, ИДЕ исправно у рукама и зна како да правилно изговори Ц++, може да компајлира потребну библиотеку и да је користи према сопственом разумевању. Ваш понизни слуга није способан за ово, па сам морао да тражим готово решење.
После дугог сата тражења, откривене су две опције за решавање проблема. Ја, наравно, говорим о ОпенСоурце решењу. На крају крајева, постоје плаћене опције - од почетка до краја.
Опција број 1.
Није било урезивања око 2 године. Изворни инсталатер ради с времена на време, морате га ручно исправити. Креира сопствену посебну услугу. Када ажурирате датотеку лозинке, ДЛЛ не преузима аутоматски промењени садржај; потребно је да зауставите услугу, сачекате временско ограничење, уредите датотеку и покренете услугу.
Без леда!
Опција број 2.
Пројекат је активан, жив и нема потребе чак ни да шутирате хладно тело.
Инсталирање филтера укључује копирање две датотеке и креирање неколико уноса у регистратору. Датотека лозинке није закључана, односно доступна је за уређивање и, према замисли аутора пројекта, једноставно се чита једном у минуту. Такође, користећи додатне уносе у регистратору, можете даље да конфигуришете и сам филтер, па чак и нијансе политике лозинке.
Тако.
Дато: Ацтиве Дирецтори домен тест.лоцал
Виндовс 8.1 тестна радна станица (није важно за сврху проблема)
филтер лозинки ПассФилтЕк
- Преузмите најновије издање са везе
- Копирај ПассФилтЕк.длл в Ц: ВиндовсСистемКСНУМКС (Или %СистемРоот%Систем32).
Копирај ПассФилтЕкБлацклист.ткт в Ц: ВиндовсСистемКСНУМКС (Или %СистемРоот%Систем32). Ако је потребно, допуњавамо га сопственим шаблонима
- Уређивање гране регистра: ХКЛМСИСТЕМЦуррентЦонтролСетЦонтролЛса => Пакети обавештења
Додај ПассФилтЕк до краја листе. (Проширење не мора да се наводи.) Комплетна листа пакета који се користе за скенирање ће изгледати овако „рассфм сцецли ПассФилтЕк".
- Поново покрените контролер домена.
- Понављамо горњи поступак за све контролере домена.
Такође можете додати следеће уносе у регистратору, што вам даје већу флексибилност у коришћењу овог филтера:
Поглавље: ХКЛМСОФТВАРЕПассФилтЕк — се креира аутоматски.
- ХКЛМСОФТВАРЕПассФилтЕкБлацклистФилеНаме, РЕГ_СЗ, Подразумевано: ПассФилтЕкБлацклист.ткт
БлацклистФилеНаме — омогућава вам да одредите прилагођену путању до датотеке са шаблонима лозинки. Ако је овај унос у регистратору празан или не постоји, користи се подразумевана путања, а то је - %СистемРоот%Систем32. Можете чак одредити и мрежну путању, АЛИ морате запамтити да датотека шаблона мора имати јасне дозволе за читање, писање, брисање, промену.
- ХКЛМСОФТВАРЕПассФилтЕкТокенПерцентагеОфПассворд, РЕГ_ДВОРД, подразумевано: 60
ТокенПерцентагеОфПассворд — омогућава вам да одредите проценат маске у новој лозинки. Подразумевана вредност је 60%. На пример, ако је проценат појављивања 60 и стринг старварс је у датотеци шаблона, онда лозинка Старварс1! биће одбијен док лозинка старварс1!ДартхВадер88 биће прихваћен јер је проценат стринга у лозинки мањи од 60%
- ХКЛМСОФТВАРЕПассФилтЕкРекуиреЦхарЦлассес, РЕГ_ДВОРД, подразумевано: 0
РекуиреЦхарЦлассес — омогућава вам да проширите захтеве за лозинком у поређењу са захтевима стандардне комплексности лозинке АцтивеДирецтори. Уграђени захтеви за сложеност захтевају 3 од 5 могућих различитих врста знакова: велика слова, мала слова, цифре, специјални и Уницоде. Користећи овај унос у регистратору, можете поставити захтјеве за сложеност лозинке. Вредност која се може специфицирати је скуп битова, од којих је сваки одговарајући степен два.
То јест, 1 = мала слова, 2 = велика слова, 4 = цифра, 8 = специјални знак и 16 = Уницоде знак.
Дакле, са вредношћу од 7 захтеви би били „велика слова“ И мала слова И цифра“, а са вредношћу 31 - „Велика слова И мала слова И цифра И посебан симбол И Уницоде знак."
Можете чак и комбиновати - 19 = „Велико слово И мала слова И Уницоде знак." -
Неколико правила приликом креирања датотеке шаблона:
- Шаблони не разликују велика и мала слова. Дакле, унос датотеке ратови звезда и Ратови звезда биће утврђено да је иста вредност.
- Датотека црне листе се поново чита сваких 60 секунди, тако да можете лако да је уредите; након једног минута филтер ће користити нове податке.
- Тренутно не постоји Уницоде подршка за подударање шаблона. То јест, можете користити Уницоде знакове у лозинкама, али филтер неће радити. Ово није критично, јер нисам видео кориснике који користе Уницоде лозинке.
- Препоручљиво је не дозволити празне редове у датотеци шаблона. У отклањању грешака тада можете видети грешку приликом учитавања података из датотеке. Филтер ради, али чему додатни изузеци?
За отклањање грешака, архива садржи батцх датотеке које вам омогућавају да креирате евиденцију, а затим га рашчланите користећи, на пример,
Овај филтер лозинке користи праћење догађаја за Виндовс.
ЕТВ добављач за овај филтер лозинки је 07d83223-7594-4852-babc-784803fdf6c5. Тако, на пример, можете да конфигуришете праћење догађаја након следећег поновног покретања:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Праћење ће почети након следећег поновног покретања система. Да се заустави:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Све ове команде су наведене у скриптама СтартТрацингАтБоот.цмд и СтопТрацингАтБоот.цмд.
За једнократну проверу рада филтера можете користити СтартТрацинг.цмд и СтопТрацинг.цмд.
Да бисте згодно прочитали отклањање грешака издувних гасова овог филтера Мицрософт Мессаге Анализер Препоручује се да користите следећа подешавања:
Када престанете да се пријавите и анализирате Мицрософт Мессаге Анализер све изгледа отприлике овако:
Овде можете видети да је дошло до покушаја постављања лозинке за корисника - то нам говори магична реч СЕТ у отклањању грешака. А лозинка је одбијена због њеног присуства у датотеци шаблона и више од 30% подударања у унетом тексту.
Ако је успешан покушај промене лозинке, видимо следеће:
Постоје неке непријатности за крајњег корисника. Када покушате да промените лозинку која је укључена у датотеку са списком шаблона, порука на екрану се не разликује од стандардне поруке када се политика лозинке не проследи.
Зато, будите спремни на позиве и повике: „Тачно сам унео лозинку, али не ради“.
Тотал.
Ова библиотека вам омогућава да забраните употребу једноставних или стандардних лозинки у домену Ацтиве Дирецтори. Рецимо "Не!" лозинке као што су: „П@ссв0рд“, „Кверти123“, „АДм1н098“.
Да, наравно, корисници ће вас волети још више јер водите рачуна о њиховој безбедности и потреби да смислите невероватне лозинке. И, можда, број позива и захтева за помоћ са вашом лозинком ће се повећати. Али безбедност има цену.
Линкови до коришћених ресурса:
Мицрософт чланак о прилагођеној библиотеци филтера лозинки:
ПассФилтЕк:
Линк за објављивање:
Листе лозинки:
Даниел Миесслер наводи:
Листа речи са слабепасс.цом:
Листа речи из берзерк0 репо:
Мицрософт Мессаге Анализер:
Извор: ввв.хабр.цом