انسان، جیسا کہ آپ جانتے ہیں، ایک سست مخلوق ہے۔
اور اس سے بھی زیادہ جب بات مضبوط پاس ورڈ کو منتخب کرنے کی ہو۔
میرے خیال میں ہر منتظم کو کبھی ہلکے اور معیاری پاس ورڈ استعمال کرنے کے مسئلے کا سامنا کرنا پڑا ہے۔ یہ رجحان اکثر کمپنی کے انتظام کے اوپری طبقوں میں پایا جاتا ہے۔ ہاں، ہاں، بالکل ان لوگوں میں سے جن کی خفیہ یا تجارتی معلومات تک رسائی ہے اور پاس ورڈ لیک/ہیکنگ اور مزید واقعات کے نتائج کو ختم کرنا انتہائی ناپسندیدہ ہوگا۔
میری پریکٹس میں، ایک ایسا معاملہ تھا جب ایکٹو ڈائرکٹری ڈومین میں پاس ورڈ کی پالیسی فعال تھی، اکاؤنٹنٹس کو آزادانہ طور پر یہ خیال آیا کہ "Pas$w0rd1234" جیسا پاس ورڈ پالیسی کے تقاضوں پر بالکل فٹ بیٹھتا ہے۔ نتیجہ ہر جگہ اس پاس ورڈ کا وسیع استعمال تھا۔ کبھی کبھی وہ صرف اپنے نمبروں میں فرق کرتا تھا۔
میں واقعی میں اس قابل ہونا چاہتا تھا کہ نہ صرف پاس ورڈ کی پالیسی کو فعال کر سکوں اور کریکٹر سیٹ کی وضاحت کروں بلکہ لغت کے لحاظ سے فلٹر بھی کروں۔ اس طرح کے پاس ورڈ استعمال کرنے کے امکان کو خارج کرنے کے لیے۔
مائیکروسافٹ ہمیں اس لنک کے ذریعے مطلع کرتا ہے کہ کوئی بھی جو اپنے ہاتھ میں ایک کمپائلر، IDE کو صحیح طریقے سے پکڑنا جانتا ہے اور C++ کا صحیح تلفظ جانتا ہے، وہ اپنی ضرورت کے مطابق لائبریری کو مرتب کرنے اور اسے اپنی سمجھ کے مطابق استعمال کرنے کے قابل ہے۔ آپ کا عاجز بندہ اس قابل نہیں ہے، اس لیے مجھے ایک ریڈی میڈ حل تلاش کرنا پڑا۔
ایک گھنٹے کی طویل تلاش کے بعد مسئلہ حل کرنے کے دو آپشن سامنے آئے۔ میں یقیناً اوپن سورس حل کے بارے میں بات کر رہا ہوں۔ سب کے بعد، ادائیگی کے اختیارات ہیں - شروع سے ختم کرنے کے لئے.
آپشن نمبر 1۔
تقریباً 2 سال سے کوئی کمٹ نہیں ہوا ہے۔ مقامی انسٹالر ہر وقت کام کرتا ہے، آپ کو اسے دستی طور پر درست کرنا ہوگا۔ اپنی الگ سروس بناتا ہے۔ پاس ورڈ فائل کو اپ ڈیٹ کرتے وقت، DLL تبدیل شدہ مواد کو خود بخود نہیں اٹھاتا؛ آپ کو سروس کو روکنے، ٹائم آؤٹ کا انتظار کرنے، فائل میں ترمیم کرنے اور سروس شروع کرنے کی ضرورت ہے۔
کوئی برف نہیں!
آپشن نمبر 2۔
پروجیکٹ فعال، زندہ ہے اور سرد جسم کو لات مارنے کی بھی ضرورت نہیں ہے۔
فلٹر کو انسٹال کرنے میں دو فائلوں کو کاپی کرنا اور کئی رجسٹری اندراجات بنانا شامل ہے۔ پاس ورڈ فائل لاک میں نہیں ہے، یعنی یہ ایڈیٹنگ کے لیے دستیاب ہے اور پروجیکٹ کے مصنف کے خیال کے مطابق، اسے صرف منٹ میں ایک بار پڑھا جاتا ہے۔ اس کے علاوہ، اضافی رجسٹری اندراجات کا استعمال کرتے ہوئے، آپ خود فلٹر اور پاس ورڈ کی پالیسی کی باریکیوں دونوں کو مزید ترتیب دے سکتے ہیں۔
تو.
دیا گیا: ایکٹو ڈائریکٹری ڈومین test.local
ونڈوز 8.1 ٹیسٹ ورک سٹیشن (مسئلہ کے مقصد کے لیے اہم نہیں)
پاس ورڈ فلٹر PassFiltEx
- لنک سے تازہ ترین ریلیز ڈاؤن لوڈ کریں۔
- کاپی PassFiltEx.dll в C: ونڈوز سیسٹم ایکس این ایم ایکس ایکس (یا %SystemRoot%System32).
کاپی PassFiltExBlacklist.txt в C: ونڈوز سیسٹم ایکس این ایم ایکس ایکس (یا %SystemRoot%System32)۔ اگر ضروری ہو تو، ہم اپنے اپنے سانچوں کے ساتھ اس کی تکمیل کرتے ہیں۔
- رجسٹری برانچ میں ترمیم کرنا: HKLMSYSTECurrentControlSetControlLsa => نوٹیفکیشن پیکجز
شامل کریں۔ PassFiltEx فہرست کے آخر تک۔ (ایکسٹینشن کو بتانے کی ضرورت نہیں ہے۔) سکیننگ کے لیے استعمال ہونے والے پیکجوں کی مکمل فہرست اس طرح نظر آئے گی۔rassfm scecli PassFiltEx".
- ڈومین کنٹرولر کو ریبوٹ کریں۔
- ہم تمام ڈومین کنٹرولرز کے لیے مندرجہ بالا طریقہ کار کو دہراتے ہیں۔
آپ درج ذیل رجسٹری اندراجات بھی شامل کر سکتے ہیں، جو آپ کو اس فلٹر کے استعمال میں مزید لچک فراہم کرتی ہے۔
سیکشن: HKLMSOFTWAREPassFiltEx - خود بخود بن جاتا ہے۔
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ، ڈیفالٹ: PassFiltExBlacklist.txt
بلیک لسٹ فائل کا نام — آپ کو پاس ورڈ ٹیمپلیٹس والی فائل کے لیے اپنی مرضی کا راستہ بتانے کی اجازت دیتا ہے۔ اگر یہ رجسٹری اندراج خالی ہے یا موجود نہیں ہے، تو پہلے سے طے شدہ راستہ استعمال کیا جاتا ہے، جو ہے - %SystemRoot%System32. آپ نیٹ ورک کا راستہ بھی بتا سکتے ہیں، لیکن آپ کو یاد رکھنے کی ضرورت ہے کہ ٹیمپلیٹ فائل کو پڑھنے، لکھنے، حذف کرنے، تبدیل کرنے کے لیے واضح اجازت ہونی چاہیے۔
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword، REG_DWORD، ڈیفالٹ: 60
TokenPercentageOfPassword - آپ کو نئے پاس ورڈ میں ماسک کا فیصد بتانے کی اجازت دیتا ہے۔ پہلے سے طے شدہ قدر 60% ہے۔ مثال کے طور پر، اگر فیصد کی موجودگی 60 ہے اور سٹرنگ اسٹار وار ٹیمپلیٹ فائل میں ہے، تو پاس ورڈ Starwars1! پاس ورڈ کے دوران مسترد کر دیا جائے گا۔ starwars1!DarthVader88 قبول کیا جائے گا کیونکہ پاس ورڈ میں سٹرنگ کا فیصد 60% سے کم ہے
- HKLMSOFTWAREPassFiltExRequireCharClasses، REG_DWORD، ڈیفالٹ: 0
CharClasses کی ضرورت ہے۔ - آپ کو معیاری ActiveDirectory پاس ورڈ کی پیچیدگی کی ضروریات کے مقابلے پاس ورڈ کی ضروریات کو بڑھانے کی اجازت دیتا ہے۔ بلٹ ان پیچیدگی کے تقاضوں کے لیے 3 ممکنہ مختلف قسم کے حروف میں سے 5 کی ضرورت ہوتی ہے: اپر کیس، لوئر کیس، ڈیجیٹ، اسپیشل، اور یونیکوڈ۔ اس رجسٹری اندراج کا استعمال کرتے ہوئے، آپ اپنے پاس ورڈ کی پیچیدگی کی ضروریات کو سیٹ کر سکتے ہیں۔ جس قدر کی وضاحت کی جا سکتی ہے وہ بٹس کا ایک سیٹ ہے، جن میں سے ہر ایک دو کی متعلقہ طاقت ہے۔
یعنی - 1 = لوئر کیس، 2 = اپر کیس، 4 = ہندسہ، 8 = خاص کریکٹر، اور 16 = یونیکوڈ کریکٹر۔
لہذا 7 کی قدر کے ساتھ ضروریات "اپر کیس" ہوں گی۔ AND چھوٹا AND ہندسہ"، اور 31 کی قدر کے ساتھ - "اپر کیس AND چھوٹا کیس AND عدد AND خصوصی علامت AND یونیکوڈ کریکٹر۔"
یہاں تک کہ آپ جوڑ سکتے ہیں - 19 = “اپر کیس AND چھوٹا کیس AND یونیکوڈ کریکٹر۔" -
ٹیمپلیٹ فائل بناتے وقت متعدد قواعد:
- ٹیمپلیٹس کیس غیر حساس ہیں۔ لہذا، فائل اندراج سٹار وار и سٹار وار اسی قدر ہونے کا تعین کیا جائے گا۔
- بلیک لسٹ فائل کو ہر 60 سیکنڈ میں دوبارہ پڑھا جاتا ہے، تاکہ آپ آسانی سے اس میں ترمیم کر سکیں؛ ایک منٹ کے بعد، نیا ڈیٹا فلٹر کے ذریعے استعمال کیا جائے گا۔
- پیٹرن میچنگ کے لیے فی الحال کوئی یونیکوڈ سپورٹ نہیں ہے۔ یعنی آپ پاس ورڈ میں یونیکوڈ کریکٹر استعمال کر سکتے ہیں، لیکن فلٹر کام نہیں کرے گا۔ یہ اہم نہیں ہے، کیونکہ میں نے ایسے صارفین کو نہیں دیکھا جو یونیکوڈ پاس ورڈ استعمال کرتے ہیں۔
- یہ مشورہ دیا جاتا ہے کہ ٹیمپلیٹ فائل میں خالی لائنوں کی اجازت نہ دیں۔ ڈیبگ میں آپ فائل سے ڈیٹا لوڈ کرتے وقت ایک خرابی دیکھ سکتے ہیں۔ فلٹر کام کرتا ہے، لیکن اضافی مستثنیات کیوں؟
ڈیبگنگ کے لیے، آرکائیو میں بیچ فائلیں ہوتی ہیں جو آپ کو لاگ بنانے اور پھر اس کا استعمال کرتے ہوئے تجزیہ کرنے کی اجازت دیتی ہیں، مثال کے طور پر،
یہ پاس ورڈ فلٹر ونڈوز کے لیے ایونٹ ٹریسنگ کا استعمال کرتا ہے۔
اس پاس ورڈ فلٹر کے لیے ETW فراہم کنندہ ہے۔ 07d83223-7594-4852-babc-784803fdf6c5. لہذا، مثال کے طور پر، آپ مندرجہ ذیل ریبوٹ کے بعد ایونٹ ٹریسنگ کو ترتیب دے سکتے ہیں:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
اگلے سسٹم ریبوٹ کے بعد ٹریسنگ شروع ہو جائے گی۔ روکنے کے لیے:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
یہ تمام احکامات اسکرپٹ میں بیان کیے گئے ہیں۔ StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
فلٹر آپریشن کی ایک بار چیک کے لیے، آپ استعمال کر سکتے ہیں۔ StartTracing.cmd и StopTracing.cmd.
اس فلٹر کے ڈیبگ ایگزاسٹ کو آسانی سے پڑھنے کے لیے مائیکروسافٹ پیغام تجزیہ مندرجہ ذیل ترتیبات کو استعمال کرنے کی سفارش کی جاتی ہے:
لاگنگ کو روکتے وقت اور تجزیہ کرنا مائیکروسافٹ پیغام تجزیہ سب کچھ اس طرح نظر آتا ہے:
یہاں آپ دیکھ سکتے ہیں کہ صارف کے لیے پاس ورڈ سیٹ کرنے کی کوشش کی گئی تھی - جادوئی لفظ ہمیں یہ بتاتا ہے۔ مقرر ڈیبگ میں اور پاس ورڈ ٹیمپلیٹ فائل میں موجود ہونے اور درج کردہ متن میں 30% سے زیادہ میچ ہونے کی وجہ سے مسترد کر دیا گیا تھا۔
اگر پاس ورڈ کی تبدیلی کی کامیاب کوشش کی جاتی ہے، تو ہم درج ذیل دیکھتے ہیں:
آخری صارف کے لیے کچھ تکلیف ہے۔ جب آپ کسی پاس ورڈ کو تبدیل کرنے کی کوشش کرتے ہیں جو ٹیمپلیٹس فائل کی فہرست میں شامل ہے، تو پاس ورڈ کی پالیسی پاس نہ ہونے پر اسکرین پر موجود پیغام معیاری پیغام سے مختلف نہیں ہوتا۔
لہذا، کالز اور چیخ و پکار کے لیے تیار رہیں: "میں نے پاس ورڈ درست طریقے سے درج کیا ہے، لیکن یہ کام نہیں کرتا ہے۔"
نتیجہ
یہ لائبریری آپ کو ایکٹو ڈائرکٹری ڈومین میں سادہ یا معیاری پاس ورڈز کے استعمال سے منع کرنے کی اجازت دیتی ہے۔ آئیے کہتے ہیں "نہیں!" پاس ورڈ جیسے: "P@ssw0rd"، "Qwerty123"، "ADm1n098"۔
جی ہاں، یقیناً، صارفین اپنی حفاظت کا اتنا خیال رکھنے اور ذہن سازی کرنے والے پاس ورڈز کے ساتھ آنے کی ضرورت پر آپ سے اور بھی پیار کریں گے۔ اور، شاید، آپ کے پاس ورڈ کے ساتھ مدد کے لیے کالز اور درخواستوں کی تعداد بڑھ جائے گی۔ لیکن سیکیورٹی ایک قیمت پر آتی ہے۔
استعمال شدہ وسائل کے لنکس:
اپنی مرضی کے مطابق پاس ورڈ فلٹر لائبریری کے بارے میں مائیکروسافٹ مضمون:
PassFiltEx:
ریلیز کا لنک:
پاس ورڈ کی فہرستیں:
DanielMiessler کی فہرست:
Weekpass.com سے ورڈ لسٹ:
berzerk0 repo سے ورڈ لسٹ:
مائیکروسافٹ پیغام تجزیہ کار:
ماخذ: www.habr.com