Inson, siz bilganingizdek, dangasa mavjudotdir.
Va undan ham ko'proq kuchli parolni tanlashda.
Menimcha, har bir administrator engil va standart parollardan foydalanish muammosiga duch kelgan. Ushbu hodisa ko'pincha kompaniya boshqaruvining yuqori bo'g'inlarida uchraydi. Ha, ha, maxfiy yoki tijorat ma'lumotlariga kirish huquqiga ega bo'lganlar orasida va parolning sizib chiqishi/buzg'unchilik va keyingi hodisalar oqibatlarini bartaraf etish juda istalmagan bo'lar edi.
Mening amaliyotimda, parol siyosati yoqilgan Active Directory domenida buxgalterlar mustaqil ravishda "Pas$w0rd1234" kabi parol siyosat talablariga to'liq mos keladi degan fikrga kelishgan. Buning oqibati bu parolning hamma joyda keng qo'llanilishi edi. Ba'zan u faqat raqamlar to'plamida farq qilar edi.
Men nafaqat parol siyosatini yoqish va belgilar to'plamini belgilashni, balki lug'at bo'yicha filtrlashni ham xohlardim. Bunday parollardan foydalanish imkoniyatini istisno qilish.
Microsoft bizga havola orqali ma'lum qiladiki, kompilyator, IDE-ni qo'lida to'g'ri ushlab turishni biladigan va C++ tilini to'g'ri talaffuz qilishni biladigan har bir kishi o'ziga kerakli kutubxonani kompilyatsiya qilishi va undan o'z tushunchasiga ko'ra foydalanishi mumkin. Sizning kamtarin xizmatkoringiz bunga qodir emas, shuning uchun men tayyor echim izlashim kerak edi.
Uzoq soatlik qidiruvdan so'ng muammoni hal qilishning ikkita varianti aniqlandi. Men, albatta, OpenSource yechimi haqida gapiryapman. Axir, pullik variantlar mavjud - boshidan oxirigacha.
Variant raqami 1.
Taxminan 2 yildan beri hech qanday majburiyatlar yo'q. Mahalliy o'rnatuvchi vaqti-vaqti bilan ishlaydi, siz uni qo'lda tuzatishingiz kerak. O'zining alohida xizmatini yaratadi. Parol faylini yangilashda DLL o'zgartirilgan tarkibni avtomatik ravishda qabul qilmaydi, siz xizmatni to'xtatishingiz, kutish vaqtini kutishingiz, faylni tahrirlashingiz va xizmatni ishga tushirishingiz kerak.
Muz yo'q!
Variant raqami 2.
Loyiha faol, jonli va hatto sovuq tanani tepishning hojati yo'q.
Filtrni o'rnatish ikkita faylni nusxalash va bir nechta ro'yxatga olish kitobi yozuvlarini yaratishni o'z ichiga oladi. Parol fayli qulfda emas, ya'ni tahrirlash uchun mavjud va loyiha muallifining fikriga ko'ra, u daqiqada bir marta o'qiladi. Bundan tashqari, ro'yxatga olish kitobining qo'shimcha yozuvlaridan foydalanib, siz filtrning o'zini ham, hatto parol siyosatining nuanslarini ham sozlashingiz mumkin.
Xo'sh, keyin.
Berilgan: Active Directory domeni test.local
Windows 8.1 sinov ish stantsiyasi (muammoning maqsadi uchun muhim emas)
PassFiltEx parol filtri
- So'nggi versiyani havoladan yuklab oling
- Nusxalash PassFiltEx.dll в C: WindowsSystem32 (yoki %SystemRoot%System32).
Nusxalash PassFiltExBlacklist.txt в C: WindowsSystem32 (yoki %SystemRoot%System32). Agar kerak bo'lsa, biz uni o'z shablonlarimiz bilan to'ldiramiz
- Ro'yxatga olish kitobi bo'limini tahrirlash: HKLMSYSTEMCurrent ControlSetControlLsa => Bildirishnomalar paketlari
Qo'shing PassFiltEx ro'yxatning oxirigacha. (Kengaytmani ko'rsatish shart emas.) Skanerlash uchun ishlatiladigan paketlarning to'liq ro'yxati quyidagicha ko'rinadi "rassfm scecli PassFiltEx".
- Domen boshqaruvchisini qayta ishga tushiring.
- Yuqoridagi tartibni barcha domen kontrollerlari uchun takrorlaymiz.
Shuningdek, siz ushbu filtrdan foydalanishda ko'proq moslashuvchanlikni ta'minlaydigan quyidagi ro'yxatga olish yozuvlarini qo'shishingiz mumkin:
Bob: HKLMSOFTWAREPassFiltEx — avtomatik tarzda yaratiladi.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, standart: PassFiltExBlacklist.txt
Qora ro'yxat fayl nomi — parol shablonlari bilan faylga maxsus yo'lni belgilash imkonini beradi. Agar ushbu ro'yxatga olish kitobi bo'sh bo'lsa yoki mavjud bo'lmasa, standart yo'l ishlatiladi, bu - %SystemRoot%System32. Siz hatto tarmoq yo'lini ham belgilashingiz mumkin, LEKIN shablon fayli o'qish, yozish, o'chirish, o'zgartirish uchun aniq ruxsatlarga ega bo'lishi kerakligini yodda tutishingiz kerak.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, standart: 60
TokenPercentageOfPassword — yangi paroldagi niqobning foizini belgilash imkonini beradi. Standart qiymat 60%. Misol uchun, agar sodir bo'lish foizi 60 bo'lsa va string starwars shablon faylida bo'lsa, parol Yulduzli urushlar 1! parolni kiritish vaqtida rad etiladi Yulduzli urushlar1!DarthVader88 qabul qilinadi, chunki paroldagi satrning foizi 60% dan kam
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, standart: 0
RequireCharClasses — standart ActiveDirectory parol murakkabligi talablariga nisbatan parol talablarini kengaytirish imkonini beradi. O'rnatilgan murakkablik talablari 3 ta mumkin bo'lgan turli xil belgilardan 5 tasini talab qiladi: Katta, Kichik, Raqamli, Maxsus va Unicode. Ushbu ro'yxatga olish kitobi yozuvidan foydalanib, parolingizning murakkabligi talablarini o'rnatishingiz mumkin. Belgilanishi mumkin bo'lgan qiymat bitlar to'plami bo'lib, ularning har biri ikkita mos keladigan quvvatdir.
Ya'ni, 1 = kichik harf, 2 = katta harf, 4 = raqam, 8 = maxsus belgi va 16 = Unicode belgisi.
Shunday qilib, 7 qiymati bilan talablar "Yuqori harf" bo'ladi VA kichik harf VA raqam”, va 31 qiymati bilan - “Yuqori harf VA kichik harf VA raqam VA maxsus belgi VA Unicode belgisi."
Siz hatto birlashtira olasiz - 19 = “Yuqori harf VA kichik harf VA Unicode belgisi." -
Shablon faylini yaratishda bir qator qoidalar:
- Shablonlar katta-kichik harflarga sezgir emas. Shuning uchun, faylga kirish Yulduzlar jangi и Yulduzlar jangi bir xil qiymatga ega ekanligi aniqlanadi.
- Qora ro'yxat fayli har 60 soniyada qayta o'qiladi, shuning uchun uni osongina tahrirlashingiz mumkin; bir daqiqadan so'ng yangi ma'lumotlar filtr tomonidan ishlatiladi.
- Hozircha naqsh moslashtirish uchun Unicode qo'llab-quvvatlamaydi. Ya'ni parollarda Unicode belgilaridan foydalanishingiz mumkin, lekin filtr ishlamaydi. Bu muhim emas, chunki men Unicode parollaridan foydalanadigan foydalanuvchilarni ko'rmadim.
- Shablon faylida bo'sh qatorlarga ruxsat bermaslik tavsiya etiladi. Nosozliklarni tuzatishda siz fayldan ma'lumotlarni yuklashda xatolikni ko'rishingiz mumkin. Filtr ishlaydi, lekin nima uchun qo'shimcha istisnolar?
Nosozliklarni tuzatish uchun arxivda jurnal yaratish va keyin uni tahlil qilish imkonini beruvchi ommaviy ish fayllari mavjud, masalan:
Ushbu parol filtri Windows uchun Voqealarni kuzatishdan foydalanadi.
Ushbu parol filtri uchun ETW provayderi 07d83223-7594-4852-babc-784803fdf6c5. Shunday qilib, masalan, quyidagi qayta ishga tushirilgandan so'ng hodisalarni kuzatishni sozlashingiz mumkin:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Kuzatuv keyingi tizim qayta yuklangandan keyin boshlanadi. To'xtatish uchun:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Ushbu buyruqlarning barchasi skriptlarda ko'rsatilgan StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Filtrning ishlashini bir martalik tekshirish uchun siz foydalanishingiz mumkin StartTracing.cmd и StopTracing.cmd.
Ushbu filtrning disk raskadrovka chiqishini qulay o'qish uchun Microsoft Message Analyzer Quyidagi sozlamalardan foydalanish tavsiya etiladi:
Tizimga kirish va tahlil qilishni to'xtatganda Microsoft Message Analyzer hamma narsa shunday ko'rinadi:
Bu erda foydalanuvchi uchun parol o'rnatishga urinish bo'lganini ko'rishingiz mumkin - sehrli so'z bizga buni aytadi SET disk raskadrovkada. Va parol shablon faylida mavjudligi va kiritilgan matnning 30% dan ko'prog'i mos kelishi sababli rad etildi.
Agar parolni o'zgartirishga urinish muvaffaqiyatli bo'lsa, biz quyidagilarni ko'ramiz:
Yakuniy foydalanuvchi uchun ba'zi noqulayliklar mavjud. Shablonlar fayli ro'yxatiga kiritilgan parolni o'zgartirishga harakat qilganingizda, parol siyosati o'tkazilmaganda ekrandagi xabar standart xabardan farq qilmaydi.
Shuning uchun, qo'ng'iroqlar va baqiriqlarga tayyor bo'ling: "Men parolni to'g'ri kiritdim, lekin u ishlamayapti."
Natija.
Ushbu kutubxona Active Directory domenida oddiy yoki standart parollardan foydalanishni taqiqlash imkonini beradi. Keling, "Yo'q!" Deylik. "P@ssw0rd", "Qwerty123", "ADm1n098" kabi parollar.
Ha, albatta, foydalanuvchilar sizni o'z xavfsizligiga g'amxo'rlik qilganingiz va aqlga sig'maydigan parollarni o'ylab topishga muhtojligingiz uchun sizni yanada yaxshi ko'rishadi. Va, ehtimol, qo'ng'iroqlar va parolingiz bo'yicha yordam so'rovlari soni ortadi. Ammo xavfsizlikning narxi bor.
Foydalanilgan manbalarga havolalar:
Maxsus parol filtri kutubxonasi haqidagi Microsoft maqolasi:
PassFiltEx:
Havolani chiqarish:
Parollar ro'yxati:
Daniel Miessler ro'yxati:
zayıfpass.com dan so'zlar ro'yxati:
berzerk0 repo dan so'zlar ro'yxati:
Microsoft xabar tahlilchisi:
Manba: www.habr.com