Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
So testen Sie Ihr Active Directory auf kompromittierte und schwache Passwörter
Milliarden kompromittierter Passwörter kursieren im Netz. Sie ermöglichen es Cyberkriminellen, ohne viel Aufwand in geschützte Netzwerke einzudringen, Daten zu stehlen oder Erpressungsangriffe zu starten. Viele Account-Inhaber, Admins oder Securityverantwortliche wissen gar nicht, dass sie ebenfalls betroffen sind. Und Sie?
Viele kompromittierte Credentials im Darknet stammen aus Hacks bei großen Anbietern. Datensammlungen wie Collection#1 oder die RockYou-Listen enthielt beispielsweise Datensätze aus Hacks bei LinkedIn, MySpace, Dropbox, Tencent, Adobe oder X, früher Twitter. Und weil die meisten Anwender dazu neigen, ihre Passwörter bei verschiedenen Accounts zu verwenden, kann es gut sein, dass auch Ihre Passwörter längst in einer solchen Datenbank gelandet sind.
Es gibt daher nur einen Weg sicherzustellen, dass die Konten in Ihrem Verantwortungsbereich keine gestohlenen Anmeldeinformationen verwenden: regelmäßige Tests. Das fordern auch Standards wie der IT-Grundschutz des BSI oder die Passwortrichtlinien von NIST. Ein Active Directory mit Hunderten von Konten auf kompromittierte Passwörter zu testen ist allerdings ziemlich aufwendig. Glücklicherweise gibt es auch einen sehr einfachen Weg: Specops Password Auditor. In diesem Beitrag lesen Sie, was dieses nützliche Werkzeug kann und wie Sie damit komfortabel Ihr Active Directory testen können – auf gestohlene oder zu schwache Passwörter, veraltete Adminkonten, unzureichende Kennwortrichtlinien und andere potenzielle Probleme.
Was ist Specops Password Auditor?
Specops Password Auditor ist ein kostenloses Tool, das Ihnen hilft, konten- und passwortbezogene Schwachstellen in Active-Directory-Umgebungen zu finden. Dazu scannt es die Account-Einstellungen einer Domäne, analysiert sie und generiert eine Reihe von Reports, die Ihnen alle wichtigen Informationen über Ihre Passwortsicherheit übersichtlich bereitstellen, u. a. zu diesen Bereichen:
- Kennwörter: Als kompromittiert bekannte Kennwörter, Konten mit identischen oder leeren Kennwörtern, Ablauf von Kennwörtern, Kennwortalter
- Admin- u. a. Konten: Konten mit Admin-Rechten, nicht mehr verwendete Administratorkonten, delegierbare Admin-Konten, nicht verwendete Benutzerkonten
- Kennwortrichtlinien: vorhandene Policies inkl.Passwortstärke, Änderungsintervalle, betroffene Benutzerkonten, Compliance mit Branchenstandards
Wie funktioniert Specops Password Auditor?
Specops Password Auditor liest nur Informationen aus dem Active Directory aus, ohne Änderungen daran vorzunehmen oder AD-Daten zu speichern. Im Einzelnen liest das Werkzeug die Standard-Kennwortrichtlinie der Domain, alle eingerichteten Fine-Grained Password Policies (FGPP) und ggf. Specops-Kennwortrichtlinien. Zudem werden Kennwort-Hashes und einige Benutzerkontoattribute (pwdLastSet, userAccountControl, lastLogonTimestamp) sämtlicher Konten gescannt. Für das Lesen von FGPPs und Passwort-Hashes werden Domainadministratorrechte in Active Directory benötigt.
Die Kennwort-Hashes werden mit unserer einzigartigen Breached-Password-Datenbank abgeglichen, die über eine Milliarden als kompromittiert bekannte Passwörter enthält. Sie stammen sowohl aus öffentlich zugänglichen Listen aus seriösen Quellen (z. B. Haveibeenpwned) als auch aus realen Angriffen. Dazu überwachen wir in Echtzeit Brute-Force-Angriffe auf unser globales Honeypot-System und sammeln die dabei verwendeten Passwörter. Eine weitere Quelle sind die Threat-Intelligence-Experten von KrakenLabs (bei unserer Muttergesellschaft Outpost24). Sie durchsuchen kontinuierlich Clear Web, Deep Web und Dark Web und überwachen Botnets und böswillige Akteure, um von Malware gestohlene und anderweitig beschaffte Passwörter zu sammeln.
Da Specops Password Auditor ausschließlich lokal arbeitet, muss die Passwort-Datenbank vor dem Scan heruntergeladen werden.
Active Directory testen: Schritt für Schritt
Schritt 1: Herunterladen und Installieren
Specops Password Auditor steht auf https://specopssoft.com/de/produkte/specops-password-auditor/ zum Download bereit. Nach dem Ausfüllen des Anforderungsformulars erhalten Sie eine E-Mail mit Links zum Installationspaket und der Lizenzdatei von Specops Password Auditor. Führen Sie anschließend die Installationsroutine auf einem geeigneten System aus. Falls Sie nicht bereits über eine Lizenz für Specops Password Policy Breached Password Protection verfügen, wird beim ersten Öffnen des Werkzeugs ein Fenster für den Import der erwähnten Lizenzdatei geöffnet.
Schritt 2: Active Directory scannen
Die Bedienung ist denkbar einfach: Starten Sie den Auditor und wählen Sie passende Einträge für Domain und den Startpunkt für den Scan („Scan Root“) sowie den gewünschten Domain Controller. Nach dem anschließenden Klick auf „Start“ können Sie wählen, ob Sie die aktuellste Breached-Password-Datenbank herunterladen oder eine bereits geladene lokale Version nutzen möchten. Sie können den Passwortabgleich auch überspringen, falls Sie nur an anderen Informationen interessiert sind und Zeit sparen möchten.
Schritt 3: Scanvorgang
Starten Sie nun den Scanvorgang („Start Scanning“). Der Auditor liest alle relevanten Informationen aus Ihrem AD aus und analysiert sie; dies kann einige Zeit in Anspruch nehmen. Klicken Sie nach Abschluss des Scans auf „Show Results“, zeigt Specops Password Auditor Ihnen ein Dashboard mit einer Übersicht der Ergebnisse.
Schritt 4: Auswerten der Ergebnisse
Damit Sie sich in der Fülle der gebotenen Informationen gut zurechtfinden, können Sie aus derzeit 15 Reports zu verschiedenen Themenbereichen wählen. Die Anzahl der jeweils gefundenen Problemfälle und einige Details dazu werden Ihnen bereits in der Ergebnisübersicht angezeigt; mehr erfahren Sie durch einen Link auf den jeweiligen Kasten. Sämtliche Accounts mit als kompromittiert bekannten Passwörtern finden Sie im Bericht „Breached Passwords“ mit zahlreichen ergänzenden Infos wie den letzten Login, die letzte Passwortänderung u. v. m. Weitere Schwachstellen bei vorhandenen Passwörtern zeigen die Reports „Identical Passwords“, „Blank Passwords“ und „Password Age“, Schwachstellen bei Ihren Kennwortrichtlinien insbesondere die Berichte „Password Not Required“, „Password Never Expires“ und natürlich „Password Policies“. Zudem erzeugt Ihnen Specops Password Auditor auf Wunsch einen PDF-Report mit einer übersichtlichen Zusammenstellung der Ergebnisse und Ihrem Score.
Schritt 5: Maßnahmen einleiten
Nun liegt es an Ihnen, Ihre Passwortsicherheit gezielt zu erhöhen. Selbstverständlich müssen Sie Benutzer mit kompromittierten, identischen oder nicht vorhandenen Passwörtern schnellstmöglich dazu bewegen, sichere Kennwörter einzurichten. Weitere mögliche Maßnahmen sind:
- Passwortrichtlinien optimieren: Definieren Sie angemessene Anforderungen an Länge, Komplexität und Zufälligkeit von Passwörtern und sorgen Sie für Compliance mit den für Sie wichtigen Branchenstandards.
- Multi-Faktor-Authentifizierung (MFA) aktivieren: Erhöhen Sie die Sicherheit, indem Sie neben dem Passwort einen zweiten Faktor verlangen, etwa eine OTP-App oder einen Hardware-Token.
- Ungenutzte Accounts deaktivieren: Wenn Sie inaktive Benutzerkonten („Stale Accounts“) konsequent deaktivieren oder löschen, minimieren Sie Ihre Angriffsfläche (mehr Infos).
- Benutzer schulen und sensibilisieren: Erklären Sie Ihren Mitarbeitern, warum sichere Passwörter wichtig sind und welche Gefahren ihre Mehrfachnutzung mit sich bringt.
Mit jeder Stunde, die Konten mit kompromittierten Passwörtern länger online sind, wächst die Gefahr eines erfolgreichen Angriffs. Probieren Sie daher Specops Password Auditor unbedingt einmal aus – am besten sofort! Wollen Sie mehr darüber erfahren, wie die Tools von Specops Sie bei der Stärkung Ihrer Passwortsicherheit unterstützen kann? Wir beraten Sie gerne!
(Zuletzt aktualisiert am 20/12/2024)