Lalaki, sakumaha anjeun terang, nyaéta mahluk anu puguh.
Komo deui lamun datang ka milih hiji sandi kuat.
Jigana unggal administrator geus kungsi Nyanghareupan masalah ngagunakeun lampu na sandi standar. Fenomena ieu sering lumangsung diantara eselon luhur manajemén perusahaan. Leres, leres-leres di antawisna anu gaduh aksés kana inpormasi rahasia atanapi komersil sareng éta bakal pisan teu pikaresepeun pikeun ngaleungitkeun akibat tina bocor sandi / hacking sareng kajadian salajengna.
Dina prakték kuring, aya kasus nalika, dina domain Active Directory kalawan kawijakan sandi diaktipkeun, akuntan bebas datang ka pamanggih yén kecap akses kawas "Pas $ w0rd1234" fits sarat kawijakan sampurna. Balukarna nyaéta pamakean kecap akses ieu di mana-mana. Kadang-kadang anjeunna béda ngan dina susunan angka na.
Nyaan hayang bisa teu ngan ngaktipkeun kawijakan sandi jeung nangtukeun susunan karakter, tapi ogé nyaring ku kamus. Pikeun ngaluarkeun kamungkinan ngagunakeun kecap akses sapertos kitu.
Microsoft bageur nawaran reureuh di informs kami via link yén saha anu weruh kumaha carana nahan kompiler a, IDE neuleu di leungeun maranéhna sarta nyaho kumaha carana ngucapkeun C ++ neuleu, bisa compile perpustakaan maranéhna butuh tur ngagunakeun eta nurutkeun pamahaman sorangan. Abdi anjeun anu hina henteu sanggup ieu, janten kuring kedah milarian solusi anu siap-siap.
Saatos sababaraha jam milarian, dua pilihan pikeun ngarengsekeun masalah diungkabkeun. Kuring, tangtosna, ngobrol ngeunaan solusi OpenSource. Barina ogé, aya pilihan mayar - ti mimiti nepi ka rengse.
Pilihan nomer 1.
Teu aya komitmen pikeun sakitar 2 taun ayeuna. Pamasang asli tiasa dianggo unggal waktos, anjeun kedah ngabenerkeunana sacara manual. Nyiptakeun jasa anu misah sorangan. Nalika ngamutahirkeun file sandi, DLL henteu otomatis nyandak eusi anu dirobih; anjeun kedah ngeureunkeun palayanan, ngantosan waktos waktos, edit file, sareng ngamimitian jasa.
Taya és!
Pilihan nomer 2.
Proyék aktip, hirup sareng teu kedah najong awak tiis.
Masang saringan ngalibatkeun nyalin dua file sareng nyiptakeun sababaraha éntri pendaptaran. File sandi henteu aya dina konci, nyaéta, sayogi pikeun ngédit sareng, numutkeun pamanggih panulis proyék, éta ngan ukur dibaca sakali menit. Ogé, ngagunakeun éntri pendaptaran tambahan, anjeun tiasa salajengna ngonpigurasikeun duanana filter sorangan komo nuances kawijakan sandi.
Jadi
dibikeun: Active Diréktori domain test.local
Windows 8.1 test workstation (teu penting pikeun tujuan masalah)
saringan sandi PassFiltEx
- Unduh pelepasan panganyarna tina tautan
- Nyalin PassFiltEx.dll в C: WindowsSystem32 (atawa %SystemRoot%System32).
Nyalin PassFiltExBlacklist.txt в C: WindowsSystem32 (atawa %SystemRoot%System32). Upami diperlukeun, urang suplement eta kalawan template urang sorangan
- Ngédit cabang pendaptaran: HKLMSYSTEMcurrentControlSetControlLsa => Paket Bewara
Tambihkeun PassFiltEx nepi ka ahir daptar. (Ekstensina henteu kedah disebatkeun.) Daptar lengkep bungkusan anu dianggo pikeun nyeken bakal siga kieu "rassfm scecli PassFiltEx".
- Reboot controller domain.
- Urang ngulang prosedur di luhur pikeun sakabéh controller domain.
Anjeun ogé tiasa nambihan éntri pendaptaran di handap ieu, anu masihan anjeun langkung kalenturan dina ngagunakeun saringan ieu:
Bab: HKLMSOFTWAREPassFiltEx - dijieun otomatis.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
Daptar HideungFileName — ngamungkinkeun anjeun pikeun nangtukeun jalur khusus kana file anu nganggo témplat sandi. Upami éntri pendaptaran ieu kosong atanapi henteu aya, maka jalur standar dianggo, nyaéta - %SystemRoot%System32. Anjeun malah bisa nangtukeun jalur jaringan, tapi anjeun kudu inget yen file template kudu boga idin jelas pikeun maca, nulis, ngahapus, ngarobah.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Default: 60
TokenPercentageOfPassword - ngidinan Anjeun pikeun nangtukeun persentase tina topeng dina sandi anyar. Nilai standar nyaéta 60%. Contona, upami persentase lumangsungna nyaéta 60 sareng string starwars aya dina file template, teras sandi Starwars1! bakal ditolak bari sandi starwars1!DarthVader88 bakal ditarima sabab persentase string dina kecap akses kurang ti 60%
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Default: 0
RequireCharClasses — ngidinan Anjeun pikeun ngalegaan sarat sandi dibandingkeun jeung standar ActiveDirectory sarat pajeulitna sandi. Sarat pajeulitna diwangun-di merlukeun 3 tina 5 rupa-rupa karakter: Huruf Besar, Huruf leutik, Angka, Husus, sareng Unicode. Nganggo éntri pendaptaran ieu, anjeun tiasa nyetél syarat pajeulitna sandi anjeun. Nilai nu bisa dieusian nyaéta sakumpulan bit, nu masing-masing mangrupakeun kakuatan pakait dua.
Hartina, 1 = aksara leutik, 2 = aksara gede, 4 = angka, 8 = karakter husus, jeung 16 = karakter Unicode.
Ku kituna kalayan nilai 7 sarat bakal "Upper Case" AND hurup leutik AND digit", sarta kalawan nilai 31 - "Upper case AND hurup leutik AND angka AND simbol husus AND karakter Unicode."
Anjeun malah tiasa ngagabungkeun - 19 = "Upper case AND hurup leutik AND karakter Unicode." -
Sajumlah aturan nalika nyieun file template:
- Témplat henteu sensitip. Ku alatan éta, entri file perang bentang и Perang bentang bakal ditangtukeun jadi nilai sarua.
- Berkas daptar hideung dibaca deui unggal 60 detik, ku kituna anjeun tiasa ngédit kalayan gampang; saatos menit, data énggal bakal dianggo ku saringan.
- Ayeuna teu aya dukungan Unicode pikeun nyocogkeun pola. Nyaéta, anjeun tiasa nganggo karakter Unicode dina kecap akses, tapi saringanna moal jalan. Ieu henteu kritis, sabab kuring henteu acan ningali pangguna anu nganggo sandi Unicode.
- Disarankeun pikeun henteu ngijinkeun garis kosong dina file template. Dina debug anjeun teras tiasa ningali kasalahan nalika ngamuat data tina file. Filter tiasa dianggo, tapi naha pengecualian tambahan?
Pikeun debugging, arsip ngandung file bets anu ngamungkinkeun anjeun nyiptakeun log teras nga-parse nganggo, contona,
Saringan sandi ieu ngagunakeun Acara Tracing pikeun Windows.
Panyadia ETW pikeun filter sandi ieu 07d83223-7594-4852-babc-784803fdf6c5. Janten, contona, anjeun tiasa ngonpigurasikeun tracing acara saatos reboot ieu:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Tracing bakal ngamimitian saatos reboot sistem salajengna. Pikeun ngeureunkeun:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Sadaya paréntah ieu dieusian dina naskah StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Pikeun hiji-waktos dipariksa operasi filter, Anjeun tiasa make StartTracing.cmd и StopTracing.cmd.
Dina raraga merenah maca knalpot debug filter ieu dina Microsoft Pesen Analyzer Disarankeun ngagunakeun setélan di handap ieu:
Nalika eureun logging sareng parsing Microsoft Pesen Analyzer sagalana kasampak kawas kieu:
Di dieu anjeun tiasa ningali yén aya usaha pikeun nyetél kecap konci pikeun pangguna - kecap sihir nyarioskeun ka urang Romadhon dina debug. Sareng kecap konci éta ditolak kusabab ayana dina file template sareng langkung ti 30% cocog dina téks anu dilebetkeun.
Upami usaha ngarobih sandi anu suksés dilakukeun, urang ningali ieu:
Aya sababaraha kasulitan pikeun pangguna akhir. Nalika anjeun nyobian ngarobih kecap konci anu kalebet dina daptar file témplat, pesen dina layar henteu bénten sareng pesen standar nalika kawijakan sandi henteu lulus.
Ku alatan éta, siap pikeun nelepon jeung shouts: "Kuring ngasupkeun sandi bener, tapi teu jalan".
Hasilna.
Perpustakaan ieu ngidinan Anjeun pikeun nyaram pamakéan kecap akses basajan atawa baku dina domain Active Directory. Hayu urang nyebutkeun "Henteu!" kecap akses kawas: "P@ssw0rd", "Qwerty123", "ADm1n098".
Leres, tangtosna, pangguna bakal langkung bogoh ka anjeun pikeun ngurus kaamanan sapertos kitu sareng kabutuhan pikeun ngadamel kecap konci anu pikaresepeun. Sareng, sigana, jumlah telepon sareng pamenta pikeun pitulung sareng kecap konci anjeun bakal ningkat. Tapi kaamanan hargana.
Tumbu ka sumberdaya dipaké:
Artikel Microsoft ngeunaan perpustakaan filter sandi khusus:
PassFiltEx:
Release link:
Daptar kecap akses:
Daptar DanielMiessler:
Daptar kecap tina weakpass.com:
Daptar kecap tina repo berzerk0:
Microsoft Message Analyzer:
sumber: www.habr.com