Schluss mit unsicheren Kennwörtern in Ihrem Active Directory
Beratungstermin vereinbarenDie Specops Password Policy unterstützt Sie bei der Erhöhung der Passwortsicherheit in Ihrer Microsoft Active Directory. Die Lösung erweitert in einer Active Directory-Umgebung die Fähigkeit eines Domänen Controllers, Anforderungen an Passwortsicherheit nach dem aktuellen Stand der Technik durchzusetzen. Durch Nutzung von Gruppenrichtlinien zur Konfiguration, wird die einfache Verwaltung von individuellen Passwortrichtlinien innerhalb einer Domäne ermöglicht. Die Specops Password Policy ermöglicht unter anderem das Blockieren von kompromittierten Passwörtern, das Anlegen von individuellen Wörterbüchern und die Verwendung von Passphrasen, mit deren Hilfe Sie starke Kennwörter unter Wegfall der Komplexität erzeugen können. Zusätzlich können Sie mit dem längenbasierten Kennwort-Ablaufdatum einen Prozess einführen, der Ihre Anwender für die Auswahl längerer Kennwörter mit einem späteren Ablaufdatum belohnt.
Mit einem segmentierten Ansatz können Sie die Anforderungen an Passwort-Sicherheit verschiedener Benutzergruppen basierend auf den jeweiligen Schutzklassen der Daten konfigurieren. Setzen Sie für Benutzer, die Zugang zu streng vertraulichen Informationen haben, sehr starke Kennwörter durch, ohne dabei die Benutzerfreundlichkeit für Anwender mit weniger Berechtigungen zu beeinträchtigen.
Erfüllen Sie regulatorische Anforderungen (z.B. BSI Grundschutz ORP.4.A23) durch das Blockieren von mehr als 3 Milliarden kompromittierter Kennwörter sowie von Passwörtern, die bei aktuellen Password Spraying-Angriffen verwendet werden. Erhöhen Sie die Sicherheit, indem Sie die Erstellung von leicht erratbaren Passwörtern basierend auf Begriffen im Umfeld Ihrer Organisation über eigene Wörterbücher blockieren.
Wörterbuchangriffe und Listen kompromittierter Kennwörter
Sie können ein Wörterbuch verwenden, eine Datei mit häufig verwendeten und/oder kompromittierten Kennwörtern, um zu verhindern, dass Benutzer Kennwörter erstellen, die für Wörterbuchangriffe anfällig sind.
| Feature Highlights | Specops Einstellungen | Microsoft FGPP Einstellungen | Azure AD Password Protection Einstellungen |
|---|---|---|---|
| Erstellung von Custom Wörterbucher | Ja | Nein | Yes (up to 1000 terms, minimum 4 characters) |
| Blockiert Kennwörter, die aktuell in Password-Spraying Angriffen verwendet werden | Ja | Nein | Teilweise (Blockiert nur Basisbegriffe in einer globalen Liste) |
| Die Liste der gesperrten Passwörter enthält auch Passwörter von Drittparteien, die kompromittiert wurden (wie von Einrichtungen wie NIST und NCSC empfohlen). | Ja | Nein | Nein (Die "banned"-Liste ist keine Leak-Liste) |
| Finden und Entfernen von bereits genutzten kompromittierten Kennwörtern | Ja | Nein | Nein |
| Verbot einer teilweisen Nutzung von Wörtern aus der Wörterbuchliste | Ja (komplett oder teilweise) | N/A | Nein |
| Verbot der Verwendung des Vor- oder Nachnamens des Benutzers | Ja (komplett oder teilweise) | Nein | Nicht teilweise |
| Block 3-Buchstaben-Wörter, Abkürzungen und Kurzbezeichnungen | Ja | N/A | Nein (Mindestens 4 Zeichen) |
| Verbot der Substitution herkömmlicher Schriftzeichen | Ja | Nein | Missing several |
Passwort / Passphrase Komplexität
Unter Komplexität versteht man im Allgemeinen die in einem Kennwort verwendeten Zeichentypen (Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen). Die Komplexität ist jedoch wirkungslos, wenn sie voraussehbar ist.
| Specops | Microsoft FGPP | Azure Password Protection | |
|---|---|---|---|
| 5/5 Zeichentypen | Ja | Nur 3/5 Zeichentypen | N/A |
| Keine aufeinanderfolgenden identischen Zeichen erlauben | Ja | Nein | N/A |
| Übliche Zeichentypen am Anfang unterbinden | Ja | Nein | N/A |
| Unterstützung von Passphrasen | Ja | Nein | N/A |
Ablaufdaten für Kennwörter / History
| Specops | Microsoft FGPP | Azure Password Protection | |
|---|---|---|---|
| Erinnerungen an den Ablauf von Passwörtern | Email, Balloon Tipp | Nur Balloon Tipp | N/A |
| Teile des aktuellen Passworts nicht zulassen | Ja | Nein | N/A |
| Mindestanzahl an geänderten Zeichen | Ja | Nein | N/A |
| Längenbasiertes Ablaufdatum für Kennwörter | Ja | Nein | N/A |
Weitere Features
| Specops | Microsoft FGPP | Azure Password Protection | |
|---|---|---|---|
| Dediziertes Tool zur Berichterstellung für Kennwortrichtlinien | Ja | Nein | Nein |
| Dynamisches Feedback an den Benutzer bei der Kennwortänderung | Ja | Nein | N/A |
| Individuelle Benachrichtigung bei fehlgeschlagener Passwortänderung auf dem Endbenutzer-Client | Ja | Nein | N/A |
Wie funktioniert es?
Specops Password Policy basiert auf der Group Policy Engine in Active Directory und arbeitet in Verbindung mit den bestehenden Passwort Policy Funktionen. Es besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung.
Verwaltungs-Tools:
Konfiguriert die zentralen Aspekte der Lösung und ermöglicht die Erstellung von Specops Password Policy Einstellungen in GPOs.
Sentinel:
Überprüft, ob ein neues Passwort mit den Specops Password Policy-Einstellungen übereinstimmt, die dem Benutzer zugewiesen wurden. Der Sentinel ist ein Passwortfilter auf den Domänencontrollern.
Client (optional):
Zeigt die Regeln der Kennwortrichtlinie an, wenn ein Benutzer beim Ändern seines Kennworts die Kriterien der Richtlinie nicht erfüllt. Außerdem werden die Benutzer benachrichtigt, wenn ihre Passwörter in Kürze ablaufen.
Wie sieht es aus?
Grafische Benutzeroberfläche: Richtlinienkonfiguration
Die Kennworteinstellungen können über den Editor für die Gruppenrichtlinienverwaltung konfiguriert werden.
Sie können eine Kennwortrichtlinie so konfigurieren, dass sie klassische Regeln oder Passphrasen verwendet.
Grafische Benutzeroberfläche: Audit-Berichterstattung
Die Specops Password Auditor Komponente scannt und erkennt sicherheitsrelevante Schwachstellen, insbesondere im Zusammenhang mit Passworteinstellungen.
Die gesammelten Informationen werden verwendet, um mehrere interaktive Berichte mit Benutzer- und Passwortrichtlinieninformationen anzuzeigen.
End-User Experience
Specops Password Policy ermöglicht es Ihnen, die Meldungen, die Benutzer sehen, über die Standard-Windows-Meldung hinaus anzupassen.
Die Anzeigeoptionen umfassen die Anzeige des gefundenen Wörterbuchworts oder der Regeln, die der Benutzer bestanden hat und noch bestehen muss.
Dynamisches Feedback bei der Passwortänderung bedeutet, dass Endbenutzer ein Feedback erhalten, während sie ihr neues Passwort eingeben. Das bessere Feedback der Endbenutzer bedeutet eine höhere Aktzeptanz der Richtlinien durch bessere Transparenz.
Warum wählen Kunden Specops?
“If you are looking to strengthen passwords in Active Directory, you should definitely consider using Specops Password Policy. It’s easy and intuitive to use, and works as advertised.” Vlatko Kosturjak, Security consultant https://www.helpnetsecurity.com/2018/11/19/review-specops-password-policy/
“Specops Password Policy can target any GPO level, computer, user, or group population and has the added benefit of expanded password policy options, including the use of passphrases.” Timothy Warner, Microsoft Cloud and Datacenter Management (MVP) https://4sysops.com/archives/specops-password-policy-enterprise-password-security/
“The tool is very easy to use, install quickly, and leverages existing Windows administration procedures to implement fine-grained password policies. Existing system administrators will find that integrating Specops Password Policy will require very little in terms to both time and effort, and the learning curve to use the product is minimal.” Richard Hicks, Microsoft Cloud and Datacenter Management (MVP) http://techgenix.com/product-review-specops-password-policy/
“The new dictionary capabilities are designed to give admins even more control over user’s passwords and allow for passwords that are unquestionably more secure.” Brien Posey, 15-time Microsoft MVP http://techgenix.com/review-of-specops-password-policy/
Fordern Sie jetzt eine Demo von Specops Password Policy an!
Möchten Sie sehen, wie Specops Password Policy und Breached Password Protection in Ihrer Active Directory-Umgebung funktionieren? Vereinbaren Sie noch heute eine Demo oder Testversion.