Specops Password Policy unterstützt Sie dabei, die Passwortsicherheit in Ihrer Microsoft Active Directory-Umgebung zu erhöhen. Die Lösung erweitert die Funktionen der Gruppenrichtlinien (Group Policy) und vereinfacht die Verwaltung granulärer Passwort-Richtlinien. Mit Specops Password Policy können Sie Anforderungen an Passwortkomplexität, kompromittierte Passwörter, Wörterbücher und Passphrasen gezielt auf GPO-, Gruppen-, Benutzer- oder Computerebene anwenden.
Verfolgen Sie einen segmentierten Sicherheitsansatz und passen Sie Ihre Richtlinien an die Anforderungen unterschiedlicher Benutzergruppen an. Benutzer mit Zugriff auf sensible Daten können strengere Passwortanforderungen erhalten, ohne die Benutzerfreundlichkeit für weniger privilegierte Anwender einzuschränken. Alternativ können Sie komplexe Passwortregeln durch Passphrasen ersetzen und so hohe Sicherheit gewährleisten, ohne die Benutzer zu belasten.
Erhöhen Sie Ihre Sicherheit zusätzlich, indem Sie organisationsspezifische Begriffe über benutzerdefinierte Wörterbücher sperren. In Kombination mit Specops Breached Password Protection verhindert Specops Password Policy die Verwendung von mehr als 5 Milliarden bekannten kompromittierten Passwörtern. Dabei werden Passwörter erkannt, die in Datenlecks aufgetaucht sind, von Malware-Botnetzen gestohlen wurden oder durch unser umfangreiches Honeypot-System identifiziert werden, das laufend aktuelle Brute-Force-Angriffe überwacht.
Wörterbuchangriffe und Listen kompromittierter Passwörter
Mit einem Passwort-Wörterbuch, also einer Datei mit häufig verwendeten und/oder kompromittierten Passwörtern, verhindern Sie, dass Benutzer Passwörter wählen, die anfällig für Wörterbuchangriffe sind.
| Funktion | Specops | Microsoft FGPP | Microsoft Entra (Azure AD) Password Protection |
|---|---|---|---|
| Benutzerdefinierte Wörterbuchlisten erstellen | Ja (ohne Begrenzung) | Nein | Ja (bis zu 1.000 Begriffe, mindestens 4 Zeichen) |
| Schutz vor aktuellen Password-Spray-Angriffen | Ja (tägliche Aktualisierung kompromittierter Passwörter) | Nein | Teilweise (nur Basisterme aus der globalen Liste) |
| Enthält kompromittierte Passwörter von Drittanbietern (gemäß Empfehlungen von NIST und NCSC) | Ja (über 5 Milliarden eindeutige kompromittierte Passwörter) | Nein | Nein („Banned Password List“ basiert nicht auf Datenlecks) |
| Tägliche Überprüfung auf kompromittierte Passwörter | Ja | Nein | Nein |
| Blockierung von Teilübereinstimmungen mit Wörtern aus der Wörterbuchliste | Ja (vollständig oder teilweise) | N/A | Nein |
| Sperrung von Vor- oder Nachnamen des Benutzers | Ja (vollständig oder teilweise) | Nein | Keine teilweise Sperrung |
| Sperrung von 3-Buchstaben-Wörtern, Abkürzungen und Akronymen | Ja | N/A | Nein (min. 4 Zeichen) |
| Erkennung gängiger Zeichenersetzungen | Ja | Nein | Teilweise |
Passwort- und Passphrasen-Komplexität
Passwortkomplexität wird häufig anhand von Zeichentypen wie Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen definiert. Komplexität allein bietet jedoch wenig Schutz, wenn sie vorhersehbar ist.
| Funktion | Specops | Microsoft FGPP | Microsoft Entra (Azure AD) Password Protection |
|---|---|---|---|
| 5 von 5 Zeichentypen erzwingen | Ja | Nur 3 von 5 Zeichentypen | N/A |
| Aufeinanderfolgende identische Zeichen verbieten | Ja | Nein | N/A |
| Häufige Zeichentypen am Passwortanfang verbieten | Ja | Nein | N/A |
| Unterstützung für Passphrasen | Ja | Nein | N/A |
Passwortablauf und Verlauf
| Funktion | Specops | Microsoft FGPP | Microsoft Entra (Azure AD) Password Protection |
|---|---|---|---|
| Erinnerungen an Passwortablauf | E-Mail, Popup-Hinweis | Nur Popup-Hinweis | N/A |
| Teile des aktuellen Passworts wiederverwenden verhindern | Ja | Nein | N/A |
| Mindestanzahl zu ändernder Zeichen festlegen | Ja | Nein | N/A |
| Kennwortalter abhängig von der Passwortlänge | Ja | Nein | N/A |
Weitere Funktionen
| Funktion | Specops | Microsoft FGPP | Microsoft Entra (Azure AD) Password Protection |
|---|---|---|---|
| Dediziertes Reporting-Tool für Passwortrichtlinien | Ja | Nein | Nein |
| Dynamische Anzeige der Richtlinien beim Passwortwechsel | Ja | Nein | N/A |
| Passwort-Richtlinienvorlagen nach NIST und NCSC | Ja | Nein | N/A |
| Individuell anpassbare Fehlermeldungen für Benutzer | Ja | Nein | N/A |
Wie funktioniert die Lösung?
Specops Password Policy basiert auf der Group-Policy-Engine von Active Directory und ergänzt die vorhandenen Passwortfunktionen. Die Lösung besteht aus den folgenden Komponenten und benötigt keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung.
Verwaltungstools:
Konfigurieren die zentralen Einstellungen der Lösung und ermöglichen die Erstellung von Specops Password Policy-Richtlinien innerhalb von Gruppenrichtlinienobjekten (GPOs).
Sentinel:
Überprüft, ob ein neues Passwort den für den Benutzer geltenden Specops-Richtlinien entspricht. Sentinel arbeitet als Passwortfilter auf den Domänencontrollern.
Client (optional):
Zeigt Benutzern die geltenden Passwortregeln an, wenn die Richtlinien beim Passwortwechsel nicht erfüllt werden. Zusätzlich informiert der Client über bevorstehende Passwortabläufe.
Kontinuierliche Überprüfung mit Specops Breached Password Protection
Die Funktion zur kontinuierlichen Überprüfung von Passwörtern überprüft täglich alle Active-Directory-Passwörter während des geplanten Periodic Scanning gegen die Breached Password Protection API. Die Datenbank wird täglich mit neu entdeckten kompromittierten Passwörtern aktualisiert, sowohl aus unserem Honeypot-System als auch aus neuen Datenlecks oder von Malware-Botnetzen gestohlenen Zugangsdaten.
Dabei verlassen keine Passwörter das lokale Netzwerk.
Optional können automatische Gegenmaßnahmen aktiviert werden, beispielsweise die erzwungene Passwortänderung bei der nächsten Anmeldung oder Benachrichtigungen per E-Mail oder SMS. E-Mail-Benachrichtigungen können an beliebige Empfänger, einschließlich Administratoren, gesendet werden.
Die aktuellen Ergebnisse der Überprüfungen stehen sowohl in den Ereignisprotokollen als auch auf der Reporting-Seite für Periodic Scanning in der Administrationsoberfläche zur Verfügung.
Wie sieht es aus?
Administrator-Erfahrung
Die Passwortrichtlinien werden direkt im Group Policy Management Editor konfiguriert.
Sie können klassische Passwortregeln oder moderne Passphrasen-Richtlinien definieren.
Die Komponente Password Auditor analysiert die Umgebung und erkennt passwortbezogene Schwachstellen.
Die Ergebnisse werden in mehreren interaktiven Berichten mit Benutzer- und Richtlinieninformationen dargestellt und können als PDF exportiert werden.
Benutzererlebnis
Specops Password Policy ermöglicht die Anpassung der Meldungen, die Benutzern angezeigt werden weit über die Standardmeldungen von Windows hinaus.
Je nach Konfiguration können beispielsweise erkannte Wörterbucheinträge oder bereits erfüllte bzw. noch fehlende Passwortanforderungen angezeigt werden.
Dank dynamischem Feedback erhalten Anwender bereits während der Eingabe ihres neuen Passworts eine Rückmeldung.
Die verbesserte Benutzerführung erhöht die Zufriedenheit der Anwender und reduziert gleichzeitig die Anzahl der Helpdesk-Anfragen.
Für Umgebungen mit Imprivata bietet der aktuelle Specops Client eine integrierte Kompatibilität.
Demo von Specops Password Policy anfordern
Möchten Sie erfahren, wie Specops Password Policy und Breached Password Protection in Ihrer Umgebung eingesetzt werden können? Fordern Sie noch heute eine Demo oder eine kostenlose Testversion unserer AD-Passwortlösung an.
