Übersicht

Specops Password Auditor scannt Ihr Active Directory und erkennt sicherheitsrelevante Schwachstellen, insbesondere in Bezug auf Kennworteinstellungen. Die gesammelten Informationen werden verwendet, um mehrere interaktive Berichte mit Informationen über Benutzer und Kennwortrichtlinien anzuzeigen. Die Berichte enthalten unter anderem eine Zusammenfassung der Konten die kompromittierte Kennwörter verwenden, Kennwortduplikate, Vergleiche der Kennworteinstellungen Ihrer Organisation mit Branchenstandards sowie bewährte Verfahrensweisen gemäß mehrerer offizieller Standards.

Specops Password Auditor liest nur Informationen aus dem Active Directory aus; es werden keine Änderungen vorgenommen. Er liest die Standard-Domain-Kennwortrichtlinie, alle fein abgestuften Kennwortrichtlinien sowie alle Specops-Kennwortrichtlinien (falls installiert).

HINWEIS
Um Fein abgestufte Kennwortrichtlinien und die Kennwort-Hashes für die Berichte Breached Password Protection, Identische Kennwörter oder Leeres Kennwort lesen zu können, benötigen Sie Domainadministratorrechte in Active Directory.

Folgende Benutzerkontoattribute werden ebenfalls gelesen:

  • pwdLastSet
  • userAccountControl
  • lastLogonTimestamp

Berichte


Im Folgenden finden Sie eine Liste der Berichte, die Sie mit dem Specops Password Auditor-Tool anzeigen/exportieren können.

Leere Kennwortfelder

Dieser Bericht identifiziert Benutzerkonten mit leeren Kennwörtern. Für diese Konten gilt eine Richtlinie ohne Kennwortpflicht.

Verletzte Kennwörter

Dieser Bericht identifiziert Benutzerkonten mit Kennwörtern, die als kompromittiert bekannt sind (wenn sie mit der Liste der kompromittierten Kennwörter abgeglichen werden, die Sie beim Starten eines Kennwort-Prüf-Scans herunterladen). Die Konten in dieser Liste sollten aufgefordert werden, ihr Kennwort zu ändern.

HINWEIS
Der Bericht über verletzte Kennwörter zeigt keine Kennwörter in Klartext. Die MD4-Hashes der kompromittierten Kennwörter werden mit den Hashes der Kennwörter aus der Domain verglichen. Die Hashes werden nicht gespeichert, sie werden gelesen und im Specops Password Auditor gespeichert.

Identische Kennwörter

Dieser Bericht zeigt Gruppen von Benutzerkonten mit demselben Kennwort an. Admin-Benutzer, die dasselbe Kennwort für ihre normalen Benutzerkonten und ihre Admin-Konten verwenden, erhöhen ihre Angriffsfläche. Die Konten in dieser Liste sollten aufgefordert werden, ihr Kennwort zu ändern. Wenn Sie auf eine beliebige Zelle in dieser Liste klicken, wird eine Tabelle mit allen Konten der betreffenden Gruppe angezeigt.

Admin-Konten

Liefert eine tabellarische Liste der Konten mit Admin-Rechten. Verwenden Sie diesen Bericht, um festzustellen, ob die Admin-Rechte angemessen genutzt werden (für Benutzer, die Aufgaben ausführen, die mit über Active Directory-Domains umfassen, oder für Aktivitäten, die erhöhte Berechtigungen erfordern). Löschen Sie unnötige Administratorkonten und ziehen Sie ein delegiertes Active Directory-Sicherheitsmodell in Betracht, um die Besten Praktiken zu befolgen.

Delegierbare Administratorkonten

Dieser Bericht umfasst alle Administratorkonten, die nicht gegen Delegation gesichert sind. Im Active Directory ist die Delegation eine Funktion, die es Benutzerkonten gestattet, sich als andere Konten mit möglicherweise weiter reichenden Privilegien auszugeben. Es empfiehlt sich, die Delegation von Administratorkonten zu unterbinden, indem man sie als sensibel kennzeichnet oder sie in die Sicherheitsgruppe der geschützten Benutzer eingliedert.

Nicht verwendete Administratorkonten

Zeigt eine tabellarische Liste der Administratorkonten an, auf die seit einer bestimmten Zeit nicht mehr zugegriffen wurde. Verwenden Sie den Schieberegler oben, um den Zeitraum seit der letzten Aktivität einzustellen (von 30 bis 360 Tagen ab heute). Verwenden Sie diesen Bericht, um nicht verwendete Konten zu prüfen. Inaktive Konten sollten gelöscht werden, da sie für den Zugriff auf Ressourcen genutzt werden könnten, ohne dass dies bemerkt wird.

Nicht verwendete Benutzerkonten

Zeigt eine tabellarische Liste der Benutzerkonten an, auf die seit einer bestimmten Zeit nicht mehr zugegriffen wurde. Verwenden Sie den Schieberegler oben, um den Zeitraum seit der letzten Aktivität einzustellen (von 30 bis 360 Tagen ab heute). Verwenden Sie diesen Bericht, um nicht verwendete Konten zu prüfen. Inaktive Konten sollten gelöscht werden, da sie für den Zugriff auf Ressourcen genutzt werden könnten, ohne dass dies bemerkt wird.

Kennwort nicht erforderlich

Dieser Bericht zeigt Benutzerkonten an, die entweder die Kontrollfahne aufzeigen, dass kein Kennwort festgelegt werden muss, oder für die eine Kennwortrichtlinie gilt, die keine minimale Kennwortlänge vorgibt. Die Konten in dieser Liste weisen auf ernsthafte Sicherheitslücken in Ihrem Unternehmen hin.

Kennwort läuft nie ab

Bietet einen Überblick über die Konten, deren Kennwörter als nicht ablaufend festgelegt sind. Kennwörter, die nie ablaufen, können anfälliger für Angriffe sein, wenn der Benutzer dasselbe Kennwort auch an anderen Stellen verwendet.

Ablaufende Kennwörter

Bietet eine Liste aller Konten mit Informationen darüber, wann das Kennwort für das Konto innerhalb eines bestimmten Zeitraums abläuft. Die Zeit bis zum Verfall kann mit dem Schieberegler oben zwischen 10 und 365 Tagen ab der Berichterstellung eingestellt werden. Die Liste kann in Form einer Tabelle oder eines Diagramms angezeigt werden. Schalten Sie zwischen den beiden Ansichten um, indem Sie die gewünschte Ansicht in der Dropdown-Liste "Ansicht" oben auswählen. Die Vorwegnahme des Ablaufs mit einem Eingreifplan kann wirksam sein, um das Anfordern des Zurücksetzens von Kennwörtern einzuschränken.

Abgelaufene Kennwörter

Liefert eine tabellarische Liste aller Kennwörter, die seit längerer Zeit abgelaufen sind. Kennwörter, die seit längerer Zeit abgelaufen sind, können auf veraltete Konten hinweisen. Standardmäßig werden Konten, bei denen das Kennzeichen "Benutzer muss Kennwort bei nächster Anmeldung ändern" gesetzt ist, in dieser Liste nicht berücksichtigt. Um diese Konten einzubeziehen, wählen Sie die Optionsschaltfläche oben.

Kennwortalter

Dieser Bericht zeigt eine tabellarische Liste aller Kennwörter mit einer Spalte, die angibt, wann das Kennwort zuletzt geändert wurde. Dies kann nützlich sein, um festzustellen, welche Konten ihr Kennwort nach einem bekannten Sicherheitsbruch geändert haben.

Kennwortrichtlinien

Mit diesem Bericht erhalten Sie einen Überblick über Ihre Kennwortrichtlinien, einschließlich der Änderungsintervalle, der Durchsetzung von Wörterbüchern und ihrer Entropie (relativen Stärke). Die Übersicht zeigt die Kennwortrichtlinien pro Domain und GPO. Die Entropie misst die Wirksamkeit der Richtlinie zur Abwehr von Brute-Force-Angriffen.

Folgende Einstellungen werden verwendet, um die maximale Entropie zu bestimmen.

  • Mindestlänge= 16 Zeichen
  • Mindestens eins der folgenden Zeichen:
    • Kleinbuchstaben
    • Großbuchstaben
    • Ziffern
    • Sonderzeichen

Alle Richtlinien, die genauso stark oder stärker eingestellt sind, werden als "maximal" eingestuft.

Weitere Informationen finden Sie in unserem Blogbeitrag über die Kennwort-Entropie.

Verwendung von Kennwortrichtlinie(n)

Bericht mit einer grafischen Übersicht über die von den einzelnen Kennwortrichtlinien betroffenen Benutzer.

Einhaltung der Kennwortrichtlinien

Dieser Bericht dient dazu, Ihre Kennwortrichtlinien mit den Branchen- und Compliance-Empfehlungen zu vergleichen. Der Bericht enthält eine Tabelle mit einer Zeile pro Domain und GPO mit Indikatoren für jeden wichtigen Industriestandard, wie MS Research, NIST und NCSC. Es werden drei Konformitätsstufen unterschieden (Nicht konform, Teilweise konform und Vollständig konform). Durch Klicken auf das Compliance-Symbol können Sie Ihre individuellen Richtlinienregeln mit den Regeln des Standards vergleichen. Weitere Informationen entnehmen Sie bitte der Seite zu den Compliance-Standards.