Specops Password Auditor
Specops Password Auditor scannt Ihr Active Directory und erkennt sicherheitsrelevante Schwachstellen, insbesondere im Zusammenhang mit Passwort-Einstellungen. Die gesammelten Informationen werden verwendet, um mehrere interaktive Berichte anzuzeigen, die Benutzer- und Passwort-Richtlinieninformationen enthalten. Die Berichte umfassen unter anderem eine Zusammenfassung von Konten, die kompromittierte Passwörter verwenden, doppelte Passwörter, Vergleiche der Passwort-Einstellungen Ihrer Organisation mit Industriestandards und Best Practices gemäß mehreren offiziellen Standards.
Specops Password Auditor wird nur Informationen aus dem Active Directory lesen und keine Änderungen vornehmen. Es wird die Standard-Domänen-Passwortrichtlinie, alle Feinabstimmungs-Passwortrichtlinien sowie alle Specops Passwortrichtlinien (falls installiert) lesen.
Hinweis
Um Feinabstimmungs-Passwortrichtlinien und die Passwort-Hashes für die Berichte Breached Password Protection, Identical Passwords oder Blank Password lesen zu können, benötigen Sie Domänenadministratorrechte im Active Directory.
Die folgenden Benutzerkontenattribute werden ebenfalls gelesen:
- pwdLastSet
- userAccountControl
- lastLogonTimestamp
Berichte
Die folgende Liste zeigt Berichte, die Sie im Specops Password Auditor Tool anzeigen/exportieren können.
Leere Passwörter
Dieser Bericht identifiziert Benutzerkonten mit leeren Passwörtern. Diese Konten sind von einer Richtlinie betroffen, die keine Passwortanforderung hat.
Kompromittierte Passwörter
Dieser Bericht identifiziert Benutzerkonten mit Passwörtern, die als kompromittiert bekannt sind (wenn sie gegen die kompromittierte Passwortliste analysiert werden, die Sie beim Starten eines Password Auditor-Scans herunterladen). Die Konten in dieser Liste sollten aufgefordert werden, ihr Passwort zu ändern.
Hinweis
Der Bericht über kompromittierte Passwörter verwendet keine Klartext-Passwörter. Die MD4-Hashes der kompromittierten Passwörter werden mit den Hashes der Passwörter aus der Domäne verglichen. Die Hashes werden nicht gespeichert, sie werden von Specops Password Auditor gelesen und im Speicher gehalten.
Identische Passwörter
Verwenden Sie diesen Bericht, um Gruppen von Benutzerkonten zu identifizieren, die dasselbe Passwort haben. Administratoren, die dasselbe Passwort für ihre normalen Benutzerkonten und ihre Administratorkonten verwenden, erhöhen ihre Angriffsfläche. Die Konten in dieser Liste sollten aufgefordert werden, ihr Passwort zu ändern. Durch Klicken auf eine beliebige Zelle in der Liste wird eine Tabelle mit allen Konten in dieser bestimmten Gruppe angezeigt.
Administratorkonten
Bietet eine tabellarische Liste von Konten mit Administratorrechten. Verwenden Sie diesen Bericht, um festzustellen, ob Administratorrechte angemessen verwendet werden (gewährt an Benutzer, die Aufgaben ausführen, die sich über Active Directory-Domänen erstrecken, oder Aktivitäten, die erhöhte Berechtigungen erfordern). Löschen Sie unnötige Administratorkonten und ziehen Sie ein delegiertes Active Directory-Sicherheitsmodell in Betracht, um Best Practices zu befolgen.
Delegierbare Administratorkonten
Dieser Bericht listet alle Administratorkonten auf, die nicht vor Delegierung geschützt wurden. Delegierung im Active Directory ist eine Funktion, die es Benutzerkonten ermöglicht, andere, möglicherweise höher privilegierte Konten zu imitieren. Es wird empfohlen, die Delegierung von Administratorkonten zu verhindern, indem man sie als sensibel markiert oder sie zur Sicherheitsgruppe der geschützten Benutzer hinzufügt.
Veraltete Administratorkonten
Zeigt eine tabellarische Liste von Administratorkonten, die für einen bestimmten Zeitraum nicht zugegriffen wurden. Um den Zeitraum seit der letzten Aktivität anzupassen (von 30 bis 360 Tagen ab dem aktuellen Datum), verwenden Sie den Schieberegler oben. Verwenden Sie diesen Bericht, um ungenutzte Konten zu überprüfen. Inaktive Konten sollten gelöscht werden, da sie von Angreifern genutzt werden können, um unbemerkt auf Ressourcen zuzugreifen.
Veraltete Benutzerkonten
Zeigt eine tabellarische Liste von Benutzerkonten, die für einen bestimmten Zeitraum nicht zugegriffen wurden. Um den Zeitraum seit der letzten Aktivität anzupassen (von 30 bis 360 Tagen ab dem aktuellen Datum), verwenden Sie den Schieberegler oben. Verwenden Sie diesen Bericht, um ungenutzte Konten zu überprüfen. Inaktive Konten sollten gelöscht werden, da sie von Angreifern genutzt werden können, um unbemerkt auf Ressourcen zuzugreifen.
Passwort nicht erforderlich
Zeigt eine tabellarische Liste von Benutzerkonten, die entweder das Kontrollflag für kein Passwort erforderlich gesetzt haben oder von einer Passwortrichtlinie betroffen sind, die keine Mindestpasswortlänge angibt. Die Konten in dieser Liste weisen auf ernsthafte Sicherheitslücken in Ihrer Organisation hin.
Passwort läuft nie ab
Bietet einen Überblick über Konten, deren Passwörter so eingestellt sind, dass sie nie ablaufen. Diese können anfälliger für Angriffe sein, wenn der Benutzer dieses Passwort anderswo wiederverwendet.
Ablaufende Passwörter
Bietet eine Liste aller Konten mit Informationen darüber, wann das Passwort für das Konto innerhalb eines bestimmten Zeitrahmens abläuft. Die Zeit bis zum Ablauf kann durch Anpassen des Schiebereglers oben eingestellt werden, von 10 bis 365 Tagen ab Berichtserstellung. Die Liste kann als Tabelle oder Diagramm angezeigt werden. Wechseln Sie zwischen den beiden Ansichten, indem Sie die gewünschte Ansicht im Dropdown-Menü Ansicht oben auswählen. Das Vorwegnehmen des Ablaufs mit einem Notfallplan kann effektiv sein, um Anrufe zum Zurücksetzen des Passworts zu reduzieren.
Abgelaufene Passwörter
Bietet eine tabellarische Liste aller Passwörter, die für einen längeren Zeitraum abgelaufen sind. Passwörter, die für einen längeren Zeitraum abgelaufen sind, können auf veraltete Konten hinweisen. Standardmäßig sind Konten mit dem Flag „Benutzer muss Passwort beim nächsten Anmelden ändern“ in der Liste ausgeschlossen. Um diese Konten einzuschließen, wählen Sie die Optionsschaltfläche oben.
Passwortalter
Dieser Bericht zeigt eine tabellarische Liste aller Passwörter mit einer Spalte, die anzeigt, wann das Passwort zuletzt geändert wurde. Dies kann nützlich sein, um festzustellen, welche Konten ihr Passwort nach einem bekannten Verstoß geändert haben.
Passwortrichtlinien
Verwenden Sie diesen Bericht für einen Überblick über Ihre Passwortrichtlinien, einschließlich Änderungsintervall, Wörterbuchdurchsetzung sowie Entropie (relative Stärke). Der Überblick zeigt Passwortrichtlinien pro Domäne und GPO. Entropie misst die Effektivität der Richtlinie beim Widerstand gegen Brute-Force-Angriffe.
Die folgenden Einstellungen werden verwendet, um die maximale Entropie zu bestimmen.
- Mindestlänge = 16 Zeichen
- Mindestens eines von jedem der folgenden:
- Kleinbuchstabe
- Großbuchstabe
- Ziffer
- Sonderzeichen
Jede Richtlinie mit ebenso starken oder stärkeren Einstellungen wird als „maximale“ Stärke angezeigt.
Siehe unseren Blogbeitrag zur Passwortentropie für weitere Informationen.
Verwendung der Passwortrichtlinie
Bericht, der einen grafischen Überblick über Benutzer bietet, die von jeder Passwortrichtlinie betroffen sind.
Einhaltung der Passwortrichtlinie
Verwenden Sie diesen Bericht, um Ihre Passwortrichtlinien mit Branchen- und Compliance-Empfehlungen zu messen. Der Bericht bietet eine Tabelle mit einer Zeile pro Domäne und GPO, mit Indikatoren für jeden wichtigen Industriestandard, wie MS Research, NIST und NCSC. Drei Compliance-Stufen werden identifiziert (Nicht konform, Teilweise konform und Vollständig konform). Durch Klicken auf das Compliance-Symbol können Sie Ihre individuellen Richtlinienregeln mit den Regeln im Standard vergleichen. Weitere Informationen finden Sie auf der Seite Compliance-Standards.