Flexible Security for Your Peace of Mind

Active Directory Passwortsicherheit: Ein Leitfaden

In diesem Artikel zeigen wir Ihnen, wie Sie kompromittierte Passwörter in den Griff bekommen, diese in Active Directory (AD) zusammen mit anderen Sicherheitsrisiken ermitteln und Ihre Accountsicherheit durch kontinuierliches Scannen nach kompromittierten Passwörtern zukunftssicher machen können.

Kompromittierte Kennwörter sind ein ernsthaftes Risiko

Die Zahl der Cyberangriffe auf Organisationen steigt weiterhin und Untersuchungen von Verizon im 2023 Data Breach Investigations Report (DBIR) ergaben, dass 44,7 % der Datenschutzverletzungen auf gestohlene Zugangsdaten zurückzuführen sind. Diese Zugangsdaten, die bei früheren Leaks, Breaches, Phishing-Angriffen oder schwachen Passwortpraktiken veröffentlicht wurden, sind für Angreifer ein gefundenes Fressen, um sich einfach unbefugten Zugang zu Netzwerken zu verschaffen.

Der unbefugte Zugriff auf Kunden-, Produktions-, Finanz- und Mitarbeiterdaten sowie andere vertrauliche Informationen kann zu Identitätsdiebstahl, Betrug und Rufschädigung führen. Darüber hinaus können kompromittierte Passwörter auch zu einer Unterbrechung des Geschäftsbetriebs sowie zu potenziellen Verstößen gegen gesetzliche Vorschriften wie die Datenschutzverordnungen (DSGVO) führen und zusätzliche Bußgelder nach sich ziehen.

Leider verfügen viele Organisationen weiterhin weder über robuste Passwortrichtlinien noch über Tools, die ihre Netzwerke vor derartigen Angriffsversuchen schützen könnten. Um solche Risiken zu minimieren, ist es wichtig, regelmäßige Audits von AD-Konten durchzuführen, passwortrelevante Schwachstellen zu identifizieren und kompromittierte Passwörter zu finden, die möglicherweise bereits im Systemen lauern.
Regelmäßige Passwort-Audits helfen dabei, kompromittierte Passwörter proaktiv aufzuspüren und zu beseitigen, um die Sicherheit und Integrität der Daten zu gewährleisten. Durch die Einführung strenger Passwortrichtlinien und die Aufklärung der Benutzer über den richtigen Umgang mit Passwörtern können Sie die Cybersecurity in Ihrer Organisation verbessern und das Risiko zukünftiger Angriffe reduzieren.

Wie identifizieren Sie kompromittierte Passwörter in Active Directory?

Es gibt eine Vielzahl kostenloser Möglichkeiten, um herauszufinden, ob kompromittierte Passwörter in Ihrem Active Directory verwendet werden. Die bekannteste ist die HaveIBeenPwned (HIBP)-Datenbank von Troy Hunt mit über 613 Millionen kompromittierten Passwort-Hashes, die über eine API abgefragt werden können, sowie die Top100k-Liste des NCSC (basierend auf der HIBP-Liste) über PowerShell. Die Größe der Datenbank, die Häufigkeit der Aktualisierungen, die für die Konfiguration erforderlichen Ressourcen und die Funktionen für einfaches Reporting sind von entscheidender Bedeutung, wenn es darum geht, ein umfassendes Audit durchzuführen, um sich ein Überblick über die aktuelle Sicherheitslage zu verschaffen und entsprechende Gegenmaßnahmen zu planen. Dafür ist ein speziell entwickeltes Tool ideal.

QuelleEinrichtungGröße der DatenbankLetztes Update
HaveIbeenPwned (HIBP)API847 MillionenDezember 2021 und regelmäßige Updates
NCSC Top 100.000Powershell100.000April 2019
Specops Password AuditorDownloadüber 950 MillionenRegelmäßige Updates

Specops Password Auditor ist genau so ein leistungsstarkes, kostenloses Software-Tool, das Sie beim Audit-Prozess unterstützt, indem es wertvolle Einblicke in den Zustand Ihrer Benutzerpasswörter und andere potenzielle Schwachstellen innerhalb Ihrer AD-Umgebung liefert.

Specops Password Auditor ist genau so ein leistungsstarkes, kostenloses und read-only Software-Tool, das Sie beim Audit-Prozess unterstützt, indem es wertvolle Einblicke in den Zustand Ihrer Benutzerpasswörter und andere potenzielle Schwachstellen innerhalb Ihrer AD-Umgebung liefert.
Der Password Auditor, der bereits von eine Vielzahl von Unternehmen eingesetzt wird, enthält eine Reihe von Leaks (einschließlich der HIBP-Datenbank) sowie Passwörter, die über Angriffe auf unsere eigenen Honeypots gesammelt wurden. Mit über 950 Millionen kompromittierten Passwörtern bietet das Tool einen umfassenden Einblick in mögliche Sicherheitsrisiken bei Ihren Passwörtern und ein interaktives Dashboard zeigt Ihnen zusätzliche Funktionen sowie einen Vergleich Ihrer aktuellen Passwortrichtlinien mit gängigen Branchenstandards. Alle Ergebnisse können auch als CSV oder Executive-Level-PDF-Zusammenfassung exportiert werden.

Das Programm arbeitet im Read-Only-Modus und nimmt keine Änderungen in Active Directory vor. Specops Password Auditor überträgt außerdem keine Daten nach außen, mit Außnahme des 6,2 GB großen Downloads der Datenbank mit kompromittierten Passwörtern können Sie Ihn problemlos auf einem Computer ohne Internetverbindung ausführen.

Wollen Sie gleich wissen, welche Passwörter aus Ihrer Organisation möglicherweise bereits kompromittiert sind? Laden Sie jetzt den kostenlosen Specops Password Auditor herunter!

So führen Sie einen Scan mit Specops Password Auditor durch

Schritt 1: Laden Sie Specops Password Auditor herunter und installieren Sie ihn.

Fordern Sie hier Ihr kostenloses Exemplar von Specops Password Auditor an. Führen Sie nach dem Download den Installer aus und folgen Sie den Anweisungen auf dem Bildschirm, um die Anwendung auf Ihrer domänenverbundenen Workstation oder Ihrem Server zu installieren.

Specops Password Auditor: Startbildschirm
Specops Password Auditor: Startbildschirm

Schritt 2: Starten Sie Specops Password Auditor

Nach der Installation starten Sie die Specops Password Auditor-Anwendung auf Ihrer Workstation oder Ihrem Server. Sie können die Anwendung entweder als normaler Benutzer oder als Domänenadministrator starten, wenn Sie die erweiterten Berichte für kompromittierte, identische und blanke Passwörter nutzen möchten.

Schritt 3: Konfigurieren Sie Specops Password Auditor

Nach dem Start der Anwendung verwenden Sie den kostenlosen Aktivierungsschlüssel, den Sie über die Download-Bestätigungs-E-Mail erhalten haben, und verbinden sich mit Ihrem Active Directory. Wenn Sie Specops Password Auditor zum ersten Mal ausführen, werden Sie aufgefordert, ein Downloadverzeichnis für die Datenbank der kompromittierten Passwörter auszuwählen. Stellen Sie sicher, dass Sie über mindestens 6,2 GB lokalen Speicherplatz verfügen.

Schritt 4: Start des Scans

Starten Sie die Analyse, indem Sie auf ” Start Scanning” klicken. Die Anwendung wird die Benutzerpasswörter und Passwortrichtlinieneinstellungen in Ihrem Active Directory analysieren und schnell einen umfassenden Bericht erstellen.

Specops Password Auditor Scanvorgang
Specops Password Auditor: Scanvorgang

Schritt 5: Die Ergebnisse des Scans

Sobald die Analyse abgeschlossen ist, können Sie den generierten Bericht einsehen. Specops Password Auditor bietet Informationen zu kompromittierten Passwörtern, identischen Passwörtern, leeren Passwörtern sowie zu kontobezogenen Schwachstellen wie veralteten Admin- und Benutzerkonten. Aus den Ergebnissen können Sie mögliche Schwachstellen in Ihrer Passwortsicherheit ableiten.

Überblick über die gefundenen Ergebnisse im interaktiven Dashboard.
Überblick über die gefundenen Ergebnisse im interaktiven Dashboard

Schritt 6: Maßnahmen ergreifen

Ergreifen Sie auf Grundlage der Ergebnisse geeignete Maßnahmen, um etwaige Schwachstellen zu bereinigen. Dies kann bedeuten, Benutzer aufzufordern, kompromittierte oder identische Passwörter zu ändern, strengere Passwortrichtlinien durchzusetzen oder zusätzliche Sicherheitsmaßnahmen zu implementieren.

Schritt 7: Erzeugen Sie Reports (optional)
Mit Specops Password Auditor können Sie detaillierte Reports in verschiedene Formate ( CSV oder PDF) und Sprachen erstellen. Diese Berichte können für weitere Analysen oder für die Präsentation der Prüfungsergebnisse gegenüber Stakeholdern nützlich sein.

Beispiel einer Englischsprachigen Executive Summary
Beispiel einer englischsprachigen Executive Summary

Indem Sie diese Schritte befolgen und regelmäßige Audits mit Specops Password Auditor durchführen, können Sie Passwort-Schwachstellen in Ihrem Active Directory proaktiv identifizieren und beheben.
Eine detailliertere Anleitung zur Installation von Specops Password Auditor finden Sie in diesem Blogbeitrag oder auf der Support-Seite.

Zukunftssichere Passwortsicherheit

Das einmalige Prüfen von Passwörtern in Ihrem Unternehmen ist ein wichtiger erster Schritt, um potenzielle Schwachstellen aufzudecken und zu beheben, schützt aber nicht davor, dass das Problem in der Zukunft wieder auftaucht.
Laut Microsoft erfolgen jede Sekunde 4.000 Passwortbasierte Angriffe auf Unternehmensnetzwerke. Auch wenn der Sichere Umgang mit Passwörtern im Bewusstsein der Benutzer verankert ist, ist es eine unrealistische Forderung, Benutzer allein für die Erstellung sicherer Passwörter verantwortlich zu machen. Stattdessen müssen technische Kontrollen eingerichtet werden, um sicherzustellen, dass ein benutzerfreundlicher Prozess angeboten wird, um sowohl starke Passwörter (wie Passphrasen) als auch Passwörter, die nicht von vornherein kompromittiert sind, zu vergeben.

Die Lösung Specops Password Policy bietet hier eine benutzerfreundliche Möglichkeit inklusive dynamischen und informativen Feedbacks während der Passworterstellung für die Benutzer. Dank eines kontinuierlichen Scans nach kompromittierten Passwörtern gegen eine täglich aktualisierte Datenbank von mehr als 4 Milliarden Kennwörtern, können Sie sich beruhigt anderen Themen widmen. Mit dieser Lösung erhalten Sie einen umfassenderen Schutz gegen passwortbasierte Angriffe und wederverwendeten Passwörtern. Falls Sie daran interessiert sind zu sehen, wie dies bei Ihnen umgesetzt werden kann, bieten wir Ihnen eine kostenlose Testversion oder Demo von Specops Password Policy an.

MFA gut alles gut?

Zu guter Letzt muss gesagt werden, dass die Sicherheit von Passwörter oft vernachlässigt wird, wenn zusätzliche Authentifizierungsmethoden im Einsatz sind. Natürlich ist ein multifaktorieller Authentifizierungsansatz (MFA), wo immer möglich, zu empfehlen, aber es ist von entscheidender Bedeutung zu wissen, dass MFA nicht vollkommen unantastbar ist – das gilt für jede einzelne Sicherheitsmaßnahme.
MFA macht den Schutz von Passwörtern nicht überflüssig, und andersherum macht der Schutz von Passwörtern den Einsatz von MFA nicht überflüssig.
Gerne beraten wir Sie darüber, wie Outpost24 und Specops Software Sie beim Schutz Ihrer IT-Infrastruktur unterstützen kann.

(Zuletzt aktualisiert am 10/01/2024)

Zurück zum Blog