Geekly articles weekly

Cara melarang kata sandi standar dan membuat semua orang membenci Anda

Manusia, seperti yang Anda tahu, adalah makhluk malas. Dan lebih dari itu ketika memilih kata sandi yang kuat.

Saya pikir setiap administrator pernah mengalami masalah dalam menggunakan kata sandi yang ringan dan standar. Fenomena ini sering ditemukan di eselon atas manajemen perusahaan. Ya, ya, itu adalah di antara mereka yang memiliki akses ke informasi rahasia atau komersial dan akan sangat tidak diinginkan untuk menghilangkan konsekuensi dari kebocoran kata sandi / peretasan dan insiden lebih lanjut.

Dalam praktik saya, ada kasus di mana, dalam domain Direktori Aktif dengan kebijakan kata sandi diaktifkan, akuntan orang secara independen menemukan gagasan bahwa kata sandi dari bentuk "Pas $ w0rd1234" berfungsi dengan baik untuk persyaratan kebijakan. Konsekuensinya adalah meluasnya penggunaan kata sandi ini di mana-mana. Dia kadang-kadang berbeda hanya dalam satu set angka.

Saya benar-benar ingin dapat tidak hanya memasukkan kebijakan kata sandi dan mendefinisikan set karakter, tetapi juga menyaring berdasarkan kamus. Untuk mengecualikan kemungkinan menggunakan kata sandi semacam ini.

Microsoft dengan ramah memberi tahu kami dengan referensi bahwa siapa pun yang tahu cara memegang kompiler dengan benar, IDE dan tahu cara mengucapkan C ++ dengan benar, dapat mengkompilasi dan menggunakan pustaka yang mereka butuhkan sendiri. Hamba Anda yang rendah hati tidak mampu melakukan ini, jadi saya harus mencari solusi yang sudah jadi.

Setelah berjam- jam mencari, dua pilihan untuk memecahkan masalah terungkap. Tentu saja, saya berbicara tentang solusi OpenSource. Lagi pula, opsi berbayar - dari dan ke.

Opsi nomor 1. OpenPasswordFilter

Tidak ada komitmen sedini pada tahun 2. Pemasang asli bekerja setiap saat, Anda harus memperbaikinya dengan tangan. Menciptakan layanan terpisah. Saat memperbarui file kata sandi, DLL tidak secara otomatis mengambil konten yang diubah, Anda harus menghentikan layanan, menunggu batas waktu, mengedit file, memulai layanan.

Jangan es!

Opsi nomor 2. PassFiltEx

Proyek ini aktif, hidup dan bahkan tidak perlu menendang tubuh yang dingin.

Memasang filter melibatkan menyalin dua file dan membuat beberapa entri registri. File kata sandi tidak terkunci, yaitu dapat diedit dan, sesuai dengan ide penulis proyek, itu hanya dibacakan satu menit sekali. Juga, dengan bantuan entri registri tambahan, Anda dapat lebih lanjut mengkonfigurasi filter itu sendiri dan bahkan nuansa kebijakan kata sandi.

Jadi
Diberikan: Active Directory domain test.local
Windows 8.1 test workstation (tidak signifikan untuk kondisi tugas)
Filter kata sandi PassFiltEx

  • Unduh rilis PassFiltEx terbaru dari tautan
  • Salin PassFiltEx.dll ke C: \ Windows \ System32 (atau % SystemRoot% \ System32 ).
    Salin PassFiltExBlacklist.txt ke C: \ Windows \ System32 (atau % SystemRoot% \ System32 ). Jika perlu, lengkapi dengan template kami.


  • Mengedit cabang registri: HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa => Paket Pemberitahuan
    Tambahkan PassFiltEx ke akhir daftar. (Tidak diperlukan ekstensi.) Daftar lengkap paket yang digunakan untuk verifikasi akan terlihat seperti ini " rassfm scecli PassFiltEx ".


  • Kami me-reboot pengontrol domain.
  • Kami ulangi prosedur di atas untuk semua pengontrol domain.

Anda juga dapat menambahkan entri registri berikut, yang memberi Anda lebih banyak fleksibilitas dalam menggunakan filter ini:

Bagian: HKLM \ SOFTWARE \ PassFiltEx - dibuat secara otomatis.

  • HKLM \ SOFTWARE \ PassFiltEx \ BlacklistFileName , REG_SZ, Default: PassFiltExBlacklist.txt

    BlacklistFileName - memungkinkan Anda menentukan jalur khusus ke file dengan templat kata sandi. Jika entri registri ini kosong atau tidak ada, maka jalur default digunakan, yaitu % SystemRoot% \ System32 . Anda bahkan dapat menentukan jalur jaringan, TETAPI Anda harus ingat bahwa file templat harus memiliki izin yang jelas untuk membaca, menulis, menghapus, mengubah.
  • HKLM \ SOFTWARE \ PassFiltEx \ TokenPercentageOfPassword , REG_DWORD, Default: 60

    TokenPercentageOfPassword - memungkinkan Anda untuk menentukan persentase kemunculan topeng di kata sandi baru. Nilai default adalah 60%. Misalnya, jika persentase kemunculan 60 ditentukan dan baris starwars ada dalam file templat, maka kata sandi adalah Starwars1! akan ditolak, sedangkan kata sandi starwars1! DarthVader88 akan diterima, karena persentase kemunculan baris dalam kata sandi kurang dari 60%
  • HKLM \ SOFTWARE \ PassFiltEx \ RequireCharClasses , REG_DWORD, Default: 0

    RequireCharClasses - Meningkatkan persyaratan kata sandi dibandingkan dengan persyaratan kompleksitas kata sandi ActiveDirectory standar. Persyaratan kompleksitas bawaan memerlukan 3 dari 5 kemungkinan jenis karakter yang berbeda: Huruf besar, Huruf kecil, Digit, Spesial dan Unicode. Menggunakan entri registri ini, Anda dapat mengatur persyaratan kompleksitas kata sandi Anda. Nilai yang dapat ditentukan adalah satu set bit, yang masing-masing adalah kekuatan yang sesuai dari dua.

    Yaitu - 1 = huruf kecil, 2 = huruf besar, 4 = digit, 8 = karakter khusus, dan 16 = karakter Unicode.

    Dengan demikian, dengan nilai 7, persyaratan akan menjadi "Huruf besar DAN huruf kecil DAN digit", dan dengan nilai 31, "Huruf besar dan huruf kecil DAN digit DAN karakter khusus DAN karakter khusus Unicode".

    Anda bahkan dapat menggabungkan - 19 = “Huruf besar dan huruf kecil DAN karakter Unicode”.


Sejumlah aturan saat menyusun file templat:

  • Pola tidak sensitif huruf. Oleh karena itu, entri dalam file starwars dan StarWarS akan ditentukan sebagai nilai yang sama.
  • File daftar hitam dibaca kembali setiap 60 detik, sehingga Anda dapat dengan mudah mengeditnya, setelah satu menit data baru sudah akan digunakan oleh filter.
  • Saat ini tidak ada dukungan Unicode untuk validasi pola. Artinya, Anda dapat menggunakan karakter Unicode dalam kata sandi, tetapi filter tidak akan berfungsi. Ini tidak penting, karena saya belum melihat pengguna yang menggunakan kata sandi Unicode.
  • Dianjurkan untuk tidak mengizinkan baris kosong di file template. Dalam debug, kesalahan kemudian terlihat ketika data dari file dimuat. Filter berfungsi, tetapi mengapa yang ekstra?

Untuk debug, ada file batch dalam arsip yang memungkinkan Anda untuk membuat log dan kemudian menguraikannya menggunakan, misalnya, Penganalisis Pesan Microsoft.

Filter kata sandi ini menggunakan Pelacakan Peristiwa untuk Windows.

Penyedia ETW untuk filter kata sandi ini adalah 07d83223-7594-4852-babc-784803fdf6c5 . Jadi, misalnya, Anda dapat mengonfigurasi pelacakan peristiwa setelah reboot berikutnya:

logman create trace autosession\PassFiltEx -o %SystemRoot%\Debug\PassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets

Pelacakan akan dimulai setelah sistem dinyalakan ulang. Untuk berhenti:
logman stop PassFiltEx -ets && logman delete autosession\PassFiltEx -ets
Semua perintah ini ditentukan dalam skrip StartTracingAtBoot.cmd dan StopTracingAtBoot.cmd .

Untuk pemeriksaan satu kali filter, Anda dapat menggunakan StartTracing.cmd dan StopTracing.cmd .

Agar dapat membaca dengan mudah knalpot debug dari filter ini di Microsoft Message Analyzer, disarankan untuk menggunakan pengaturan berikut:





Saat Anda menghentikan log dan parsing di Microsoft Message Analyzer , semuanya terlihat seperti ini:



Di sini Anda dapat melihat bahwa ada upaya untuk menetapkan kata sandi bagi pengguna - kata ajaib SET dalam debug memberi tahu kami tentang hal ini. Dan kata sandi ditolak karena keberadaannya dalam file templat dan lebih dari 30% cocok dengan teks yang dimasukkan.

Dengan upaya yang berhasil untuk mengubah kata sandi, kami melihat yang berikut:



Ada beberapa ketidaknyamanan bagi pengguna akhir. Ketika Anda mencoba mengubah kata sandi yang termasuk dalam daftar file templat, pesan di layar tidak berbeda dalam kecerdasan dan ketajaman dari pesan standar ketika kebijakan kata sandi tidak disahkan.



Karena itu, bersiaplah untuk panggilan dan jeritan: "Saya memasukkan kata sandi sebagaimana mestinya, tetapi tidak berhasil."

Ringkasan


Pustaka ini memungkinkan Anda untuk melarang penggunaan kata sandi sederhana atau standar dalam domain Active Directory. Katakan tidak! kata sandi dalam bentuk: "P @ ssw0rd", "Qwerty123", "ADm1n098".
Ya, tentu saja, pengguna akan lebih mencintai Anda karena masalah keamanan dan kebutuhan untuk membuat kata sandi yang marah. Dan, mungkin, jumlah panggilan dan permintaan bantuan dengan kata sandi yang akan Anda tambahkan. Tetapi keamanan harus dibayar mahal.

Tautan ke sumber daya yang digunakan:

Artikel Microsoft tentang pustaka filter kata sandi khusus: Filter Kata Sandi
PassFiltEx: PassFiltEx
Tautan Rilis: Rilis Terbaru
Daftar Kata Sandi:
Daftar DanielMiessler: Tautan.
Daftar kata dari lemahpass.com: Tautan.
Daftar kata dari berzerk0 repo: Tautan.
Penganalisis Pesan Microsoft: Penganalisis Pesan Microsoft.

Source: https://habr.com/ru/post/id446336/

More articles:


All Articles