Berichterstattung
Administratorenbezeichnungen in Berichten
In Specops Password Auditor-Berichten werden Benutzer als Administratoren klassifiziert, je nachdem, zu welcher Gruppe sie im Active Directory gehören. Die folgenden Benutzer werden als Administratoren bezeichnet:
- Die integrierte Administratorengruppe mit der bekannten SID S-1-5-32-544
- Die Domänen-Administratoren-Gruppe, die die Domänen-SID enthält und mit 512 endet
- Die Unternehmens-Administratoren-Gruppe, die die Domänen-SID enthält und mit 519 endet
- Die Schema-Administratoren-Gruppe, die die Domänen-SID enthält und mit 518 endet
Bildschirmbericht
Wenn Sie den Scan durchgeführt haben (wie im Hauptabschnitt Verwaltung beschrieben) und auf Ergebnisse anzeigen geklickt haben, wird Ihnen eine Übersicht über interaktive Berichte mit Benutzer- und Passwort-Richtlinieninformationen angezeigt. Die einzelnen Berichte können durch Klicken darauf aufgerufen werden, um zusätzliche, detailliertere Informationen zu erhalten.
Leere Passwörter
Dieser Bericht identifiziert Benutzerkonten mit leeren Passwörtern. Diese Konten sind von einer Richtlinie betroffen, die keine Passwortanforderung hat.
Verletzte Passwörter
Dieser Bericht identifiziert Benutzerkonten mit Passwörtern, von denen bekannt ist, dass sie kompromittiert sind (wenn sie gegen die Liste der verletzten Passwörter analysiert werden, die Sie beim Starten eines Password Auditor-Scans herunterladen). Die Konten in dieser Liste sollten aufgefordert werden, ihr Passwort zu ändern.
Hinweis
Der Bericht über verletzte Passwörter verwendet keine Klartext-Passwörter. Die MD4-Hashes der kompromittierten Passwörter werden mit den Hashes der Passwörter aus der Domäne verglichen. Die Hashes werden nicht gespeichert, sie werden von Specops Password Auditor im Speicher gelesen und gehalten.
Identische Passwörter
Verwenden Sie diesen Bericht, um Gruppen von Benutzerkonten zu identifizieren, die dasselbe Passwort haben. Admin-Benutzer, die dasselbe Passwort für ihre normalen Benutzerkonten und ihre Admin-Konten verwenden, erhöhen ihre Angriffsfläche. Die Konten in dieser Liste sollten aufgefordert werden, ihr Passwort zu ändern. Durch Klicken auf eine beliebige Zelle in der Liste wird eine Tabelle mit allen Konten in dieser bestimmten Gruppe angezeigt.
Admin-Konten
Bietet eine tabellarische Liste von Konten mit Administratorrechten. Verwenden Sie diesen Bericht, um festzustellen, ob Administratorrechte angemessen verwendet werden (gewährt an Benutzer, die Aufgaben ausführen, die sich über Active Directory-Domänen erstrecken, oder Aktivitäten, die erhöhte Berechtigungen erfordern). Löschen Sie unnötige Admin-Konten und ziehen Sie ein delegiertes Active Directory-Sicherheitsmodell in Betracht, um bewährte Praktiken zu befolgen.
Delegierbare Admin-Konten
Dieser Bericht listet alle Admin-Konten auf, die nicht vor Delegierung geschützt wurden. Delegierung in Active Directory ist eine Funktion, die es Benutzerkonten ermöglicht, andere, möglicherweise höher privilegierte Konten zu imitieren. Es wird empfohlen, die Delegierung von Admin-Konten zu verhindern, indem man sie als sensibel markiert oder sie der Sicherheitsgruppe "Geschützte Benutzer" hinzufügt.
Veraltete Admin-Konten
Zeigt eine tabellarische Liste von Admin-Konten, die für einen bestimmten Zeitraum nicht zugegriffen wurden. Um den Zeitraum seit der letzten Aktivität anzupassen (von 30 bis 360 Tagen ab heute), verwenden Sie den Schieberegler oben. Verwenden Sie diesen Bericht, um ungenutzte Konten zu prüfen. Inaktive Konten sollten gelöscht werden, da sie von Angreifern genutzt werden können, um unbemerkt auf Ressourcen zuzugreifen.
Veraltete Benutzerkonten
Zeigt eine tabellarische Liste von Benutzerkonten, die für einen bestimmten Zeitraum nicht zugegriffen wurden. Um den Zeitraum seit der letzten Aktivität anzupassen (von 30 bis 360 Tagen ab heute), verwenden Sie den Schieberegler oben. Verwenden Sie diesen Bericht, um ungenutzte Konten zu prüfen. Inaktive Konten sollten gelöscht werden, da sie von Angreifern genutzt werden können, um unbemerkt auf Ressourcen zuzugreifen.
Passwort nicht erforderlich
Zeigt eine tabellarische Liste von Benutzerkonten, die entweder das Steuerflag für kein Passwort erforderlich gesetzt haben oder von einer Passwort-Richtlinie betroffen sind, die keine Mindestpasswortlänge angibt. Die Konten in dieser Liste weisen auf ernsthafte Sicherheitslücken in Ihrer Organisation hin.
Passwort läuft nie ab
Bietet einen Überblick über Konten, deren Passwörter so eingestellt sind, dass sie nie ablaufen. Diese können anfälliger für Angriffe sein, wenn der Benutzer dieses Passwort anderswo wiederverwendet.
Ablaufende Passwörter
Bietet eine Liste aller Konten mit Informationen darüber, wann das Passwort für das Konto innerhalb eines bestimmten Zeitrahmens abläuft. Die Zeit bis zum Ablauf kann durch Anpassen des Schiebereglers oben eingestellt werden, von 10 bis 365 Tagen ab Berichtserstellung. Die Liste kann als Tabelle oder Diagramm angezeigt werden. Wechseln Sie zwischen den beiden Ansichten, indem Sie die gewünschte Ansicht im Dropdown-Menü "Ansicht" oben auswählen. Das Vorwegnehmen des Ablaufs mit einem Notfallplan kann effektiv sein, um Anrufe zum Passwort-Reset zu reduzieren.
Abgelaufene Passwörter
Bietet eine tabellarische Liste aller Passwörter, die für einen längeren Zeitraum abgelaufen sind. Passwörter, die für einen längeren Zeitraum abgelaufen sind, können auf veraltete Konten hinweisen. Standardmäßig sind Konten mit dem Flag "Benutzer muss Passwort beim nächsten Anmelden ändern" in der Liste ausgeschlossen. Um diese Konten einzuschließen, wählen Sie die Optionsschaltfläche oben.
Passwortalter
Dieser Bericht zeigt eine tabellarische Liste aller Passwörter mit einer Spalte, die anzeigt, wann das Passwort zuletzt geändert wurde. Dies kann nützlich sein, um festzustellen, welche Konten ihr Passwort nach einem bekannten Verstoß geändert haben.
Passwort-Richtlinien
Verwenden Sie diesen Bericht für einen Überblick über Ihre Passwort-Richtlinien, einschließlich Änderungsintervall, Wörterbuchdurchsetzung sowie Entropie (relative Stärke). Die Übersicht zeigt Passwort-Richtlinien pro Domäne und GPO. Entropie misst die Wirksamkeit der Richtlinie bei der Abwehr von Brute-Force-Angriffen.
Die folgenden Einstellungen werden verwendet, um die maximale Entropie zu bestimmen.
- Mindestlänge= 16 Zeichen
- Mindestens eines von jedem der folgenden:
- Kleinbuchstaben
- Großbuchstaben
- Ziffer
- Sonderzeichen
Jede Richtlinie mit ebenso starken oder stärkeren Einstellungen wird als "maximale" Stärke angezeigt.
Siehe unseren Blogbeitrag zur Passwort-Entropie für weitere Informationen.
Passwort-Richtliniennutzung
Bericht, der einen grafischen Überblick über Benutzer bietet, die von jeder Passwort-Richtlinie betroffen sind.
Passwort-Richtlinienkonformität
Verwenden Sie diesen Bericht, um Ihre Passwort-Richtlinien mit Branchen- und Konformitätsempfehlungen zu messen. Der Bericht bietet eine Tabelle mit einer Zeile pro Domäne und GPO, mit Indikatoren für jeden wichtigen Industriestandard, wie MS Research, NIST und NCSC. Drei Konformitätsstufen werden identifiziert (Nicht konform, Teilweise konform und Vollständig konform). Durch Klicken auf das Konformitätssymbol können Sie Ihre individuellen Richtlinienregeln mit den Regeln im Standard vergleichen. Weitere Informationen finden Sie auf der Seite zu Konformitätsstandards.
Hinweis
Specops Password Auditor überprüft sowohl die integrierten Windows-Richtlinien als auch die mit Specops Password Policy erstellten (mit Specops Breached Password Protection).
Zum Beispiel werden Standards, die verlangen, dass Benutzer keine Wörterbuchwörter verwenden (Passwörter aus dem Wörterbuch nicht zulassen), als nicht konform markiert, wenn Specops Password Policy nicht verwendet wird oder wenn die Richtlinie in Specops Password Policy nicht konfiguriert ist, um das Kriterium zu erfüllen.
CSV-Berichte
Für jeden einzelnen Bericht, der nach einem Scan erstellt wird, kann ein .csv-Export erstellt werden. Um einen .csv-Bericht zu erstellen, gehen Sie wie folgt vor:
- Klicken Sie auf den Bericht, für den Sie einen Bericht erstellen möchten.
- Klicken Sie oben auf Exportieren.
- Navigieren Sie zu dem Ort, an dem Sie den Bericht auf Ihrem System speichern möchten, geben Sie einen Namen für die Datei ein und klicken Sie auf Speichern.
PDF-Berichte
Neben .csv-Exporten für einzelne Berichte kann ein PDF-Bericht für den gesamten Scan erstellt werden.
- Klicken Sie auf der Berichtsübersichtsseite unten auf PDF-Bericht abrufen.
- Geben Sie den richtigen Dateipfad an, unter dem der Bericht auf Ihrem System gespeichert werden soll, indem Sie auf die Schaltfläche Durchsuchen klicken und zum richtigen Ort navigieren.
- Wählen Sie Ihre Papiergröße (A4 oder Letter)
- Wählen Sie den Berichtstyp:
- Vollständig: gibt eine zusammenfassende Übersicht über alle Berichte zusätzlich zu den einzelnen Berichten. Alle einzelnen Berichte werden ebenfalls von einer Zusammenfassung begleitet.
- Zusammenfassung: gibt nur einen zusammenfassenden Bericht über alle Berichte.
- Klicken Sie auf Erstellen.
SPP-Kunden haben die Möglichkeit, geplante Berichte zu erstellen. Weitere Informationen finden Sie auf der Seite zur Berichtsplanung.