Flexible Security for Your Peace of Mind

Auswirkungen des Betriebs von Specops Password Auditor auf das Active Directory (Teil 1)

Specops Password Auditor (SPA), Specops Password Policy (SPP) und Breached Password Protection (BPP) kommen oft in Kombination zum Einsatz, um Unternehmen zu mehr Sicherheit und Passworthygiene im Active Directory (AD) zu verhelfen.

Oft wird zuerst SPA ausprobiert – warum auch nicht, es ist ja KOSTENLOS (Download hier). Mit diesem Programm erhalten Sie ein gutes Verständnis dafür, wie es um die Passwörter Ihrer Benutzer bestellt ist; außerdem kann es von jedem Arbeitsplatzrechner mit Domänenanschluss ausgeführt werden.

Sobald der Baseline-Bericht von SPA vorliegt, folgt oft ein Proof-of-Concept mit SPP in Kombination mit dem dazugehörigen BPP-Dienst, die gemeinsam einen kontinuierlichen Schutz bieten, wenn sie schließlich auf die Benutzerkonten angewendet werden.

Während aller Implementierungsphasen werden wir oft nach den technischen Auswirkungen dieser Lösungen auf das AD und andere Dienste gefragt.

Im ersten Teil dieses Blogs werden wir uns die Auswirkungen von SPA auf das AD ansehen. Im zweiten Teil sehen wir uns die Auswirkungen von SPP und BPP auf das AD an.

Specops Password Auditor

Betrachten wir zunächst SPA. Wie in der Einleitung erwähnt, handelt es sich dabei im Grunde um eine Desktop-Anwendung, die sowohl von einem normalen Benutzer als auch von einem Domänenadministrator ausgeführt werden kann.

Specops Password Auditor Start Scan-page

Bei der Ausführung als Domänenadministrator erhalten Sie Zugriff auf drei erweiterte Berichte:

  • Welche Benutzer aktuell ein kompromittiertes Passwort verwenden
  • Welche Benutzer identische Passwörter haben
  • Welche Benutzer ein leeres Passwort haben

Diese Voraussetzungen müssen erfüllt sein:

  • Der Arbeitsplatzrechner oder Server, auf dem Sie die Software ausführen wollen, sollte unter Windows 8 oder 10 bzw. Server 2012 oder neuer laufen.
  • Die neueste Version von Microsoft .net Framework muss installiert sein.
  • Die AD-Domäne muss im LAN verbunden sein (kein VPN).
  • Sie sollten über alle gängigen Windows-/RPC-Netzwerk-Ports mit einem DC in Kontakt treten können – davon gibt es viele.

Die LAN-Verbindung zu einem DC ist wichtig, weil die drei oben genannten Spezialberichte die aktuellen Passwort-Hashes Ihrer Benutzer aus dem Domänen-Controller extrahieren müssen. Das dauert nur ein paar Sekunden, aber jeder Paketverlust kann den Prozess stören und Sie müssen eventuell von vorn beginnen.

Als nächstes müssen Sie die Express-Version der BPP-Datenbank herunterladen.

Breached Passwords - Start Scanning

Bei Verwendung mit SPA ist diese Datenbank weiterhin kostenlos. Sie ist 5 GB groß und besteht aus 256 Dateien à ca. 18 MB. Das sind insgesamt rund 738 Millionen der am häufigsten verwendeten kompromittierten Passwort-Hashes. Wir aktualisieren diese Datenbank regelmäßig und bei jedem Start von SPA wird geprüft, ob Sie die neueste Version haben – falls nicht, haben Sie die Möglichkeit, diese herunterzuladen. Sorgen Sie also für ausreichend Speicherplatz auf Ihrem lokalen Rechner oder Server, um die Datenbank speichern und auf dem neuesten Stand halten zu können.

Die Dateien werden heruntergeladen von: https://download.specopssoft.com

Denken Sie daran, dass dieses Tool keine Passwörter knackt, sondern nur vorübergehend die Hashes extrahiert. Genau genommen geht es dabei mit denselben Methoden vor wie bei der AD-Replikation. Es werden also keine Regeln gebrochen, und wir greifen auf keine Daten zu, die für einen Domänenadministrator nicht ohnehin zugänglich sind.

Die Erstellung des Berichts dauert nur ein paar Sekunden, danach werden die Ergebnisse angezeigt.

Specops Password Auditor Oberfläche

Von dort aus können Sie in jeden Bericht hineingehen und die Daten in eine CSV-Datei exportieren, falls Sie sie weiter analysieren möchten.
SPA kann auch einen schicken PDF-Bericht mit Ausführungen zu den einzelnen Ergebnissen erstellen – falls Sie Ihre Ergebnisse dem Vorstand oder der Geschäftsleitung präsentieren müssen.

Es werden auch KEINE Daten an Specops übertragen. Abgesehen vom Herunterladen der Installationsdatei und der 5 GB großen Datenbank können Sie das Programm also auch problemlos ohne Internetverbindung auf dem Computer ausführen. Auch Werbung oder andere lästige Dinge, wie man sie sonst bei kostenloser Software hat, gibt es nicht.

SPA nimmt keine Änderungen an Ihren Daten vor, es dient lediglich der Berichterstellung. Daher müssen alle nachfolgenden Aktionen – wie die Aufforderung zur Passwortänderung an Benutzer mit kompromittierten Passwörtern – manuell durchgeführt werden, sofern SPA isoliert läuft.

Mit SPP/BPP können Sie diese Aktion jedoch auch automatisieren, falls dies für Ihre Benutzer und deren aktuelle Arbeitsumgebung angebracht ist. Damit wären wir auch schon bei Specops Password Policy/Breached Password Protection.

Sehen Sie hier Teil 2 des Blogs.

(Zuletzt aktualisiert am 03/12/2024)

Zurück zum Blog