Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Specops Password Policy 7.9 – Versenden von Mails vom Arbiter, Konfiguration von AD-Standorten für bessere Leistung & mehr
Heute haben wir die neueste Version von Specops Password Policy 7.9, veröffentlicht.
In diesem Beitrag werfen wir einen Blick auf die Neuerungen:
- Neue Einstellungsmöglichkeit zum Versenden von E-Mails vom Arbiter anstelle des Sentinel Services.
- Neue Option zur Konfiguration der AD-Standorte, die ein Arbiter bedient, um die Leistung zu verbessern.
- Verbesserte Umsetzung von Passwortänderungen, bei kompromittierten Kennwörtern, für Benutzer deren Passwörter nie ablaufen sollen.
- Und vieles mehr.
Neu: Optionale Konfiguration des Versands von E-Mails durch den Arbiter zur weiteren Härtung von DCs
In dieser Version haben wir die Möglichkeit hinzugefügt, E-Mails, die von Specops Password Policy gesendet werden (Ablauferinnerungen und Benachrichtigungen über kompromittierte Kennwörter), optional über den Specops Arbiter statt über den Sentinel Service zu senden.
Da der Sentinel-Dienst auf Domänencontrollern installiert werden muss, ist diese neue Option besonders für Kunden interessant, die vermeiden möchten, dass SMTP-Datenverkehr direkt von Domänencontrollern erzeugt wird. Kunden, die Arbiters auf Servern installiert haben, die keine Domänencontroller sind (wie empfohlen), können diese neue Option nutzen, um ihre Domänencontroller weiter abzusichern.
Bestehende Kunden können Arbiter nur installieren, wenn sie Specops Breached Password Protection verwenden. Kunden, die derzeit nicht über Specops Breached Password Protection verfügen, aber einen Arbiter für den Versand der Ablauferinnerungs-E-Mails verwenden möchten, müssen Arbiter möglicherweise zuerst installieren.
Weitere Informationen zur Konfiguration des Arbiters für den E-Mail-Versand finden Sie hier.
Neu: Konfigurieren Sie, welche Active Directory-Standorte ein Arbiter überwacht, um die Performance zu steigern
In dieser Version haben wir die Möglichkeit hinzugefügt, zu definieren, welche Active Directory-Sites ein Specops Arbiter überwacht.
Arbiter sind eine Komponente von Specops Password Policy, die für folgende Funktionen genutzt werden:
- Prüfung von Passwörtern gegen die 3+ Milliarden Breached Password Protection Complete Liste (immer, wenn Breached Password Complete konfiguriert ist)
- Senden von Textnachrichten aus Specops Password Policy (immer, wenn Textbenachrichtigungen konfiguriert sind)
- Versenden von E-Mails aus Specops Password Policy (optional, ab dieser Version)
Kunden, die die Leistung des Arbiters und ihres Active Directory-Netzwerks weiter optimieren möchten, werden diese neue Konfiguration interessant finden.
Weitere Informationen zu dieser Konfigurationsoption finden Sie hier.
Verbesserte Umsetzung des Schutzes vor kompromittierten Passwörtern für Benutzer mit unbegrenzter Gültigkeit
Vor dieser Version konnten Benutzer, deren Kennwörter auf ” never expire” (Nie ablaufend) eingestellt waren, nicht dazu gezwungen werden, ihr Kennwort bei der nächsten Anmeldung zu ändern, wenn ihr Kennwort in der Liste “Breached Password Protection” gefunden wurde.
Mit dieser Version haben wir die Möglichkeit eingeführt, eine Kennwortänderung für Benutzer zu erzwingen, deren Kennwörter auf ” never expire” (nie ablaufend) eingestellt sind, bei denen aber auch ein kompromittiertes Kennwort gefunden wurde.
Wenn die Einstellung “Require that users with leaked passwords change them at next logon” für Breached Password Protection aktiviert ist, löscht Specops Password Policy das “never expire”-Flag des Benutzers, wenn sein Passwort in der Complete-Liste oder als Teil des täglichen Scans für die Express-Liste gefunden wird, und ermöglicht es, den Benutzer zu zwingen, sein Passwort bei der nächsten Anmeldung zu ändern.
Kunden können die Protokolle überwachen (event ID 1166) oder sich per E-Mail benachrichtigen lassen, um die Benutzer zu verwalten, bei denen die Markierung “nie ablaufen” gelöscht wird.
Hinweis: Kunden mit Servicekonten, die so eingestellt sind, dass sie nie ablaufen, sollten vor dem Upgrade besonders vorsichtig sein und mit Hilfe von Specops Password Auditor überprüfen, welche Servicekonten verletzte Passwörter haben, und einen Plan erstellen, um diese Passwörter zu ändern oder sie von der täglichen Express-Überprüfung auszuschließen.
Alternativen zu “never expire”
Auch wenn viele Unternehmen daran interessiert sind, Passwortrichtlinien so einzustellen, dass Kennwörter nie ablaufen, um den Aufwand für die Passwortverwaltung zu verringern und schlechte Benutzerpraktiken bei der Wiederholung von Passwörtern zu unterbinden, stellen wir fest, dass viele Kunden es immer noch vorziehen, sich mit der Ablauffrist gegen die Wiederverwendung von Passwörtern abzusichern. Diese Kunden nutzen die längenbasierte Ablaufdaten für Kennwörter als Kompromiss, um beiden Anforderungen gerecht zu werden.
Weitere Verbesserungen und Korrekturen
Weitere Verbesserungen und Korrekturen mehr finden Sie in den Versionshinweisen.
Wenn Sie bereits Kunde von Specops Password Policy sind, finden Sie hier eine Update-Anleitung. Wenn Sie Fragen zum Upgrade haben, wenden Sie sich bitte an den Support.
Wenn Sie daran interessiert sind, eine Demo der neuesten Specops Password Policy zu sehen oder Fragen dazu haben, wie Sie über 3 Milliarden kompromittierte Passwörter mit Breached Password Protection blockieren können – wir beraten Sie gerne.
(Zuletzt aktualisiert am 29/03/2023)