Инсон, чунон ки медонед, махлуқи танбал аст.
Ва ҳатто бештар аз он вақте ки сухан дар бораи интихоби пароли қавӣ меравад.
Ман фикр мекунам, ки ҳар як администратор боре бо мушкилоти истифодаи паролҳои сабук ва стандартӣ рӯ ба рӯ шудааст. Ин падида аксар вақт дар байни табақаҳои болоии роҳбарияти ширкат рух медиҳад. Бале, бале, маҳз дар байни онҳое, ки ба маълумоти махфӣ ё тиҷоратӣ дастрасӣ доранд ва бартараф кардани оқибатҳои ихроҷи парол/хакерӣ ва ҳодисаҳои минбаъда хеле номатлуб мебуд.
Дар таҷрибаи ман, як ҳолате буд, ки дар домени Active Directory бо сиёсати парол фаъол буд, муҳосибон мустақилона ба андешае омаданд, ки парол ба мисли "Pas$w0rd1234" ба талаботи сиёсат комилан мувофиқат мекунад. Дар натиҷа, истифодаи васеъи ин парол дар ҳама ҷо буд. Баъзан ӯ танҳо дар маҷмӯи рақамҳои худ фарқ мекард.
Ман дар ҳақиқат мехостам, ки на танҳо сиёсати паролро фаъол созам ва маҷмӯи аломатҳоро муайян кунам, балки инчунин аз рӯи луғат филтр кунам. Барои истисно кардани имконияти истифодаи чунин паролҳо.
Microsoft тавассути истинод ба мо хабар медиҳад, ки ҳар касе, ки чӣ тавр дуруст нигоҳ доштани компилятор, IDE-ро дар дасти худ медонад ва чӣ тавр дуруст талаффуз кардани C++-ро медонад, метавонад китобхонаи лозимаро тартиб диҳад ва мувофиқи фаҳмиши худ истифода барад. Бандаи хоксори шумо ба ин кодир нест, бинобар ин ман мачбур шудам, ки илочи тайёрро чустучу кунам.
Баъди як соати тулонии чустучу ду варианти халли масъала ошкор гардид. Ман, албатта, дар бораи ҳалли OpenSource гап мезанам. Баъд аз ҳама, имконоти пулакӣ вуҷуд доранд - аз аввал то ба охир.
Варианти рақами 1.
Тақрибан 2 сол боз ягон ӯҳдадорӣ вуҷуд надорад.Насбкунандаи ватанӣ ҳар гоҳ кор мекунад, шумо бояд онро дастӣ ислоҳ кунед. Хидмати алоҳидаи худро эҷод мекунад. Ҳангоми навсозии файли парол, DLL ба таври худкор мундариҷаи тағирёфтаро намегирад; шумо бояд хидматро қатъ кунед, вақтро интизор шавед, файлро таҳрир кунед ва хидматро оғоз кунед.
Ях нест!
Варианти рақами 2.
Лоиҳа фаъол аст, зинда аст ва ҳатто ба бадани сард лагад задан лозим нест.
Насб кардани филтр нусхабардории ду файл ва эҷоди якчанд сабтҳои сабтро дар бар мегирад. Файли парол дар қулф нест, яъне он барои таҳрир дастрас аст ва мувофиқи идеяи муаллифи лоиҳа, он танҳо дар як дақиқа як маротиба хонда мешавад. Инчунин, бо истифода аз сабтҳои иловагии реестр, шумо метавонед минбаъд ҳам худи филтр ва ҳатто нозукиҳои сиёсати паролро танзим кунед.
Пас, он гоҳ.
Домен: Active Directory домени test.local
Истгоҳи кории санҷишии Windows 8.1 (барои ҳадафи мушкилот муҳим нест)
филтри парол PassFiltEx
- Варақаи охиринро аз пайванд зеркашӣ кунед
- Нусхабардорӣ PassFiltEx.dll в C: WindowsSystem32 (ё %SystemRoot%System32).
Нусхабардорӣ PassFiltExBlacklist.txt в C: WindowsSystem32 (ё %SystemRoot%System32). Агар лозим бошад, мо онро бо қолабҳои худамон пурра мекунем
- Таҳрири филиали феҳрист: HKLMSYSTEMControlControlSetControlLsa => Бастаҳои огоҳинома
Илова кунед PassFiltEx то охири рӯйхат. (Таъдиди тамдид лозим нест.) Рӯйхати пурраи бастаҳое, ки барои сканкунӣ истифода мешаванд, чунин хоҳад буд "rassfm scecli PassFiltEx".
- Назоратчии доменро аз нав оғоз кунед.
- Мо тартиби дар боло зикршударо барои ҳамаи контроллерҳои домен такрор мекунем.
Шумо инчунин метавонед сабтҳои зерини феҳристро илова кунед, ки ба шумо дар истифодаи ин филтр чандирии бештар медиҳад:
Боб: HKLMSOFTWAREPassFiltEx — ба таври худкор сохта мешавад.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, Пешфарз: PassFiltExBlacklist.txt
Номи файли рӯйхати сиёҳ — ба шумо имкон медиҳад, ки роҳи фармоиширо ба файл бо қолибҳои парол муайян кунед. Агар ин сабти реестр холӣ бошад ё вуҷуд надошта бошад, пас роҳи пешфарз истифода мешавад, ки - %SystemRoot%System32. Шумо ҳатто метавонед як роҳи шабакаро муайян кунед, АММО шумо бояд дар хотир доред, ки файли қолаб бояд барои хондан, навиштан, нест кардан, тағир додан иҷозатҳои равшан дошта бошад.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, Пешфарз: 60
TokenPercentageOfPassword — ба шумо имкон медиҳад, ки фоизи ниқобро дар пароли нав муайян кунед. Арзиши пешфарз 60% аст. Масалан, агар фоизи пайдоиш 60 бошад ва сатри ситораҳо дар файли шаблон бошад, пас парол Ҷангҳои Star1! ҳангоми ворид кардани парол рад карда мешавад starwars1!DarthVader88 қабул карда мешавад, зеро фоизи сатр дар парол камтар аз 60% аст
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, Пешфарз: 0
RequireCharClasses — ба шумо имкон медиҳад, ки талаботи паролро нисбат ба талаботи стандартии мураккабии парол ActiveDirectory васеъ кунед. Талаботи мураккабии дарунсохт 3-то аз 5 намуди гуногуни аломатҳоро талаб мекунад: Ҳарфҳои калон, хурд, рақам, махсус ва Юникод. Бо истифода аз ин сабти феҳрист, шумо метавонед талаботи мураккабии паролро муқаррар кунед. Қимате, ки метавон муайян кард, маҷмӯи битҳост, ки ҳар яки онҳо қудрати мувофиқи ду аст.
Яъне 1 = ҳарфи хурд, 2 = ҳарфи калон, 4 = рақам, 8 = аломати махсус ва 16 = аломати Юникод.
Ҳамин тавр, бо арзиши 7 талабот "Ҳарфи калон" хоҳад буд ВА ҳарфи хурд ВА рақам», ва бо арзиши 31 - «Ҳарфи калон ВА ҳарфи хурд ВА рақам ВА рамзи махсус ВА Аломати Юникод."
Шумо ҳатто метавонед якҷоя кунед - 19 = "Ҳарфи калон ВА ҳарфи хурд ВА Аломати Юникод." -
Як қатор қоидаҳо ҳангоми сохтани файли қолабӣ:
- Шаблонҳо ба ҳарфҳо ҳассос нестанд. Аз ин рӯ, вуруди файл ситорагон и StarWarS муайян карда мешавад, ки арзиши якхела бошад.
- Файли рӯйхати сиёҳ ҳар 60 сония дубора хонда мешавад, бинобар ин шумо метавонед онро ба осонӣ таҳрир кунед; пас аз як дақиқа, маълумоти нав аз ҷониби филтр истифода мешавад.
- Дар айни замон дастгирии Юникод барои мувофиқати намуна вуҷуд надорад. Яъне, шумо метавонед аломатҳои Юникодро дар паролҳо истифода баред, аммо филтр кор намекунад. Ин муҳим нест, зеро ман корбаронеро, ки паролҳои Юникод истифода мебаранд, надидам.
- Тавсия дода мешавад, ки дар файли шаблон ба сатрҳои холӣ иҷозат надиҳед. Дар дебаг шумо метавонед хатогиро ҳангоми боркунии маълумот аз файл бинед. Филтр кор мекунад, аммо чаро истисноҳои иловагӣ?
Барои ислоҳ кардани хатогиҳо, бойгонӣ файлҳои партиявиро дар бар мегирад, ки ба шумо имкон медиҳанд, ки гузориш эҷод кунед ва сипас онро бо истифода аз, масалан, таҳлил кунед
Ин филтри парол пайгирии рӯйдодҳоро барои Windows истифода мебарад.
Провайдери ETW барои ин филтри парол аст 07d83223-7594-4852-babc-784803fdf6c5. Ҳамин тавр, масалан, шумо метавонед пайгирии ҳодисаро пас аз бозоғозкунии зерин танзим кунед:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Пайгирӣ пас аз бозсозии навбатии система оғоз мешавад. Барои қатъ:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Ҳамаи ин фармонҳо дар скриптҳо нишон дода шудаанд StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Барои санҷиши якдафъаинаи кори филтр, шумо метавонед истифода баред StartTracing.cmd и StopTracing.cmd.
Бо мақсади ба осонӣ хондани ихроҷи debug ин филтр дар Таҳлилгари паёмҳои Microsoft Тавсия дода мешавад, ки танзимоти зеринро истифода баред:
Ҳангоми қатъ кардани воридшавӣ ва таҳлил Таҳлилгари паёмҳои Microsoft ҳама чиз чунин ба назар мерасад:
Дар ин ҷо шумо мебинед, ки кӯшиши гузоштани парол барои корбар вуҷуд дошт - ин калимаи ҷодугарӣ ба мо мегӯяд Set дар дебаг. Ва парол аз сабаби мавҷудияти он дар файли шаблон ва беш аз 30% мувофиқат дар матни воридшуда рад карда шуд.
Агар кӯшиши бомуваффақияти иваз кардани парол анҷом дода шавад, мо инҳоро мебинем:
Барои истифодабарандаи ниҳоӣ баъзе нороҳатӣ вуҷуд дорад. Вақте ки шумо кӯшиши тағир додани паролро, ки ба рӯйхати файли қолибҳо дохил карда шудааст, тағир медиҳед, паём дар экран аз паёми стандартӣ, вақте ки сиёсати парол гузаронида намешавад, фарқ надорад.
Аз ин рӯ, ба зангҳо ва фарёдҳо омода бошед: "Ман паролро дуруст ворид кардам, аммо он кор намекунад."
Хати поён.
Ин китобхона ба шумо имкон медиҳад, ки истифодаи паролҳои оддӣ ё стандартиро дар домени Active Directory манъ кунед. Биёед бигӯем "Не!" паролҳо ба монанди: "P@ssw0rd", "Qwerty123", "ADm1n098".
Бале, албатта, корбарон шуморо барои ғамхорӣ дар бораи амнияти худ ва зарурати пайдо кардани паролҳои аҷибе бештар дӯст хоҳанд дошт. Ва, шояд, шумораи зангҳо ва дархостҳо барои кӯмак бо пароли шумо афзоиш ёбад. Аммо амният бо нархе меояд.
Истинодҳо ба захираҳои истифодашуда:
Мақолаи Microsoft дар бораи китобхонаи филтри пароли фармоишӣ:
PassFiltEx:
Истинод:
Рӯйхати паролҳо:
DanielMiessler рӯйхат мекунад:
Рӯйхати калимаҳо аз zayıfpass.com:
Рӯйхати калимаҳо аз repo berzerk0:
Microsoft Message Analyzer:
Манбаъ: will.com