Banned Password On Premise AD yazımızda sizlere Azure ortamında kullanılan Password Protection Banned Password servisinin on premise ortamda nasıl uygulanmaktadır. Bunun için Ryan Ries tarafından yazılan PassFiltex kullanılacağız. Dll dosyası en son olarak Temmuz 2023 yılında güncel halini bulabilirsiniz. Bu dll bizlere kendi banned listemizi oluşturmamızı sağlayacaktır.
Ayrıca tool’un diğer bir güzel yanı ise password policy ayarlarıdır. Bilindiği gibi password complexity Default Domain Policy veya Fine Grained Policylerde belirliyoruz. Fakat durum aslında şöyledir. Karmaşıklıktan kastımız Büyük Harf, Küçük Harf , Rakam ve Özel karakterdir. AD Yapısında bu dört ana başlıktan üç tanesini sağladığında şifre verebilmekteyiz. Yani karmaşıklık için 3’ünü karşılamak yeterlidir.
Ryan bu konuda’da bizlere yardımcı olacaktır. Linkten DLL Dosyasını indiriniz.
PassFiltex.dll ve PassFiltExBlackList.txt dosyalarını System32 altına kopyalayınız. Black list dosyamızı banned olacak passwordler ile doldurabilirsiniz. Burada dünya genelinde kullanılan birçok blacklist vardır. Fakat sizler kurumunuzda çokça kullanılan herkes tarafından bilinen bazı passwordler kesinlikle vardır. Bunları kesinlikle ekleyiniz.
Dikkat edilmesi gereken konu aslında şudur. İndireceğiniz herhangi bir blacklist dosyalarında sizlerin Domain Policyde belirlediğiniz şifre karakter sayısından daha az karakterde şifreler olabilir. O yüzden kendi karakter sayınız ve üstü için liste oluşturun. Aşağıdaki gibi listenizi hazırlayabilirsiniz.
Banned Password Blacklist
Daha sonrasında Registrye giriş yapacağız. “Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” Notification Packages değerimize PassFiltEx değerini giriş yaparak Domain Controller’ı yeniden başlatınız.
Sonrasında herhangi bir Userda password reset işlemini denerken blacklist’e yazdığınız password’ü deneyin.Aşağıdaki gibi hata alacaksınız.
Ayrıca yukarıda bahsettiğim karmaşıklık için
BlacklistFileName, REG_SZ, Default: PassFiltExBlacklist.txt
TokenPercentageOfPassword, REG_DWORD, Default: 60
RequireEitherLowerOrUpper, REG_DWORD, Default: 0
MinLower, REG_DWORD, Default: 0
MinUpper, REG_DWORD, Default: 0
MinDigit, REG_DWORD, Default: 0
MinSpecial, REG_DWORD, Default: 0
MinUnicode, REG_DWORD, Default: 0
değerleri ile ayarlamalar yapabilirsiniz. Ayrıca Blacklistfilename.txt dosyasının yolunu başka bir path olarak belirleyebilirsiniz. Debug için linkte açıklamalar mevcuttur.
Banned Password On Premise AD yazımızda RYAN bize sunduğu banned password tool’u sizlere kısaca anlatmak istedim. Password Policy Domain ortamında en önemli konulardan biridir. Bu amaçla password güvenliğini her zaman ön planda tutmak gerekir. Aşağıdaki kategorilerden diğer yazılarımı takip edebilirsiniz.