Im Folgenden finden Sie eine Liste der Berichte, die Sie mit dem Specops Password Auditor-Tool anzeigen/exportieren können.
Leere Kennwortfelder
Dieser Bericht identifiziert Benutzerkonten mit leeren Kennwörtern. Für diese Konten gilt eine Richtlinie ohne Kennwortpflicht.
Verletzte Kennwörter
Dieser Bericht identifiziert Benutzerkonten mit Kennwörtern, die als kompromittiert bekannt sind (wenn sie mit der Liste der kompromittierten Kennwörter abgeglichen werden, die Sie beim Starten eines Kennwort-Prüf-Scans herunterladen). Die Konten in dieser Liste sollten aufgefordert werden, ihr Kennwort zu ändern.
Identische Kennwörter
Dieser Bericht zeigt Gruppen von Benutzerkonten mit demselben Kennwort an. Admin-Benutzer, die dasselbe Kennwort für ihre normalen Benutzerkonten und ihre Admin-Konten verwenden, erhöhen ihre Angriffsfläche. Die Konten in dieser Liste sollten aufgefordert werden, ihr Kennwort zu ändern. Wenn Sie auf eine beliebige Zelle in dieser Liste klicken, wird eine Tabelle mit allen Konten der betreffenden Gruppe angezeigt.
Admin-Konten
Liefert eine tabellarische Liste der Konten mit Admin-Rechten. Verwenden Sie diesen Bericht, um festzustellen, ob die Admin-Rechte angemessen genutzt werden (für Benutzer, die Aufgaben ausführen, die mit über Active Directory-Domains umfassen, oder für Aktivitäten, die erhöhte Berechtigungen erfordern). Löschen Sie unnötige Administratorkonten und ziehen Sie ein delegiertes Active Directory-Sicherheitsmodell in Betracht, um die Besten Praktiken zu befolgen.
Delegierbare Administratorkonten
Dieser Bericht umfasst alle Administratorkonten, die nicht gegen Delegation gesichert sind. Im Active Directory ist die Delegation eine Funktion, die es Benutzerkonten gestattet, sich als andere Konten mit möglicherweise weiter reichenden Privilegien auszugeben. Es empfiehlt sich, die Delegation von Administratorkonten zu unterbinden, indem man sie als sensibel kennzeichnet oder sie in die Sicherheitsgruppe der geschützten Benutzer eingliedert.
Nicht verwendete Administratorkonten
Zeigt eine tabellarische Liste der Administratorkonten an, auf die seit einer bestimmten Zeit nicht mehr zugegriffen wurde. Verwenden Sie den Schieberegler oben, um den Zeitraum seit der letzten Aktivität einzustellen (von 30 bis 360 Tagen ab heute). Verwenden Sie diesen Bericht, um nicht verwendete Konten zu prüfen. Inaktive Konten sollten gelöscht werden, da sie für den Zugriff auf Ressourcen genutzt werden könnten, ohne dass dies bemerkt wird.
Nicht verwendete Benutzerkonten
Zeigt eine tabellarische Liste der Benutzerkonten an, auf die seit einer bestimmten Zeit nicht mehr zugegriffen wurde. Verwenden Sie den Schieberegler oben, um den Zeitraum seit der letzten Aktivität einzustellen (von 30 bis 360 Tagen ab heute). Verwenden Sie diesen Bericht, um nicht verwendete Konten zu prüfen. Inaktive Konten sollten gelöscht werden, da sie für den Zugriff auf Ressourcen genutzt werden könnten, ohne dass dies bemerkt wird.
Kennwort nicht erforderlich
Dieser Bericht zeigt Benutzerkonten an, die entweder die Kontrollfahne aufzeigen, dass kein Kennwort festgelegt werden muss, oder für die eine Kennwortrichtlinie gilt, die keine minimale Kennwortlänge vorgibt. Die Konten in dieser Liste weisen auf ernsthafte Sicherheitslücken in Ihrem Unternehmen hin.
Kennwort läuft nie ab
Bietet einen Überblick über die Konten, deren Kennwörter als nicht ablaufend festgelegt sind. Kennwörter, die nie ablaufen, können anfälliger für Angriffe sein, wenn der Benutzer dasselbe Kennwort auch an anderen Stellen verwendet.
Ablaufende Kennwörter
Bietet eine Liste aller Konten mit Informationen darüber, wann das Kennwort für das Konto innerhalb eines bestimmten Zeitraums abläuft. Die Zeit bis zum Verfall kann mit dem Schieberegler oben zwischen 10 und 365 Tagen ab der Berichterstellung eingestellt werden. Die Liste kann in Form einer Tabelle oder eines Diagramms angezeigt werden. Schalten Sie zwischen den beiden Ansichten um, indem Sie die gewünschte Ansicht in der Dropdown-Liste "Ansicht" oben auswählen. Die Vorwegnahme des Ablaufs mit einem Eingreifplan kann wirksam sein, um das Anfordern des Zurücksetzens von Kennwörtern einzuschränken.
Abgelaufene Kennwörter
Liefert eine tabellarische Liste aller Kennwörter, die seit längerer Zeit abgelaufen sind. Kennwörter, die seit längerer Zeit abgelaufen sind, können auf veraltete Konten hinweisen. Standardmäßig werden Konten, bei denen das Kennzeichen "Benutzer muss Kennwort bei nächster Anmeldung ändern" gesetzt ist, in dieser Liste nicht berücksichtigt. Um diese Konten einzubeziehen, wählen Sie die Optionsschaltfläche oben.
Kennwortalter
Dieser Bericht zeigt eine tabellarische Liste aller Kennwörter mit einer Spalte, die angibt, wann das Kennwort zuletzt geändert wurde. Dies kann nützlich sein, um festzustellen, welche Konten ihr Kennwort nach einem bekannten Sicherheitsbruch geändert haben.
Kennwortrichtlinien
Mit diesem Bericht erhalten Sie einen Überblick über Ihre Kennwortrichtlinien, einschließlich der Änderungsintervalle, der Durchsetzung von Wörterbüchern und ihrer Entropie (relativen Stärke). Die Übersicht zeigt die Kennwortrichtlinien pro Domain und GPO. Die Entropie misst die Wirksamkeit der Richtlinie zur Abwehr von Brute-Force-Angriffen.
Folgende Einstellungen werden verwendet, um die maximale Entropie zu bestimmen.
- Mindestlänge= 16 Zeichen
- Mindestens eins der folgenden Zeichen:
- Kleinbuchstaben
- Großbuchstaben
- Ziffern
- Sonderzeichen
Alle Richtlinien, die genauso stark oder stärker eingestellt sind, werden als "maximal" eingestuft.
Weitere Informationen finden Sie in unserem Blogbeitrag über die Kennwort-Entropie.
Verwendung von Kennwortrichtlinie(n)
Bericht mit einer grafischen Übersicht über die von den einzelnen Kennwortrichtlinien betroffenen Benutzer.
Einhaltung der Kennwortrichtlinien
Dieser Bericht dient dazu, Ihre Kennwortrichtlinien mit den Branchen- und Compliance-Empfehlungen zu vergleichen. Der Bericht enthält eine Tabelle mit einer Zeile pro Domain und GPO mit Indikatoren für jeden wichtigen Industriestandard, wie MS Research, NIST und NCSC. Es werden drei Konformitätsstufen unterschieden (Nicht konform, Teilweise konform und Vollständig konform). Durch Klicken auf das Compliance-Symbol können Sie Ihre individuellen Richtlinienregeln mit den Regeln des Standards vergleichen. Weitere Informationen entnehmen Sie bitte der Seite zu den Compliance-Standards.