Domain-Verwaltungstool

Mit dem Tool zur Domain-Verwaltung können Sie Konfigurationen verwalten, die für Ihre gesamte Domäne gelten. Sobald Sie die Einstellungen geändert haben, werden diese automatisch gespeichert.

Sie können das Domain-Verwaltungstool über das Startmenü aufrufen.

Informationen zum aktuellen Benutzer

Links unten im Domain-Verwaltungstool finden Sie Informationen zum angemeldeten Benutzer. Angezeigt werden der Name des aktuellen Benutzers sowie die Rolle, unter der dieser Benutzer läuft (Domain-Administrator oder Specops Password Policy-Verwaltungsgruppe).

Funktionen und Berechtigungen

Als Domain-Administrator können Sie in Specops Password Policy alle Aufgaben ausführen. Die Berechtigungen einer Specops Password Policy-Verwaltungsgruppe beschränken sich auf das Folgende:

  • Aktivierung/Deaktivierung von SSP in der Domain
  • Bearbeitung einiger Domain-Einstellungen:
    • Konfiguration von SMTP und Verschicken von Test-E-Mails zur SMTP-Konfiguration
    • Konfiguration von benutzerdefinierten Attributen
    • Auswahl eines anderen DC für die Benutzerzählung
    • Aktivierung/Deaktivierung von „Kennwort mit umkehrbarer Verschlüsselung speichern“
  • Verwaltung von Arbitern
  • Herunterladen von Express-Listen
  • Starten des Express-Scan
  • Aktualisierung von Sprachdateien
  • Aktualisierung der Lizenz (beim erstmaligen Hinzufügen ist ein Domain-Administrator erforderlich)
  • Eingeschränkter Einblick in den Sentinel-Status über das Menü „Password Policy Sentinel “ (nur wenn Web-API auf einem DC aktiviert ist; um den korrekten Versionsstatus abzurufen, ist dennoch der Domain-Administrator erforderlich)
HINWEIS
Wenn Kunden der Specops Password Policy-Verwaltungsgruppe oder einem Endbenutzer Zugang zu einem GPO gewähren, können sie bestehende Kennwortrichtlinien bearbeiten/speichern und von der Richtlinie aus Test-E-Mails schicken.
HINWEIS
Bei der Erstellung des Specops Password Policy-Admin kann der Arbiter bis zu 10 Minuten für die Registrierung benötigen.

Oberes Menü [domain_name]

Das durch Ihren Domainnamen erkennbare obere Menü enthält folgende Abschnitte:

  • Domains ändern: Wechsel zwischen den verfügbaren Domains.
  • Domain-Controller ändern: Wechsel zwischen den verfügbaren Domain-Controllern.
    HINWEIS
    Bitte beachten Sie, dass die Liste der Domain-Controller in der Spalte Name durch Klicken auf die Spaltenüberschrift sortiert werden kann.
  • Deaktivieren und Aktivieren der Specops Password Policy: Wird auf Ihre gesamte Domain angewendet und bestimmt, ob der Sentinel eingehende Kennwortänderungen verarbeitet.
  • Lizenz: Bietet einen Überblick der relevanten Informationen zur aktuellen Lizenz einschließlich folgender Informationen:
    • Kontoname: Der Name des Kontos in der Lizenzdatei.
    • Genutzte Rechte: Anzahl der derzeit genutzten Rechte.
    • Features: In dieser Lizenz enthaltene Features.
    • Datum des letzten periodischen Scans: Datum und Uhrzeit der Ausführung des letzten periodischen Scans.
  • Lizenzdatei importieren: Ermöglicht Ihnen den Import neuer Lizenzen.

Kennwortrichtlinien

Im Menü Kennwortrichtlinien können Sie folgende Aufgaben durchführen:

  • Erstellen einer neuen Kennwortrichtlinie, oder verknüpfen einer vorhandenen Richtlinie mit einem neuen GPO.
  • Ansicht der Liste aller Gruppenrichtlinienobjekte in Ihrer Domain, die Kennwortrichtlinieneinstellungen enthalten.
  • Einen Überblick über die Regeln der Kennwortrichtlinie erhalten, die mit jedem aufgelisteten GPO verbunden sind.
  • Eine bestehende Richtlinie bearbeiten.
  • Eine Richtlinie aus einem GPO entfernen.

Erstellen einer neuen Kennwortrichtlinie

HINWEIS
Sie können eine neue Richtlinie über das Domain-Verwaltungstool oder über den Gruppenrichtlinien-Verwaltungseditor erstellen (erweitern Sie den Knoten Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Kennwortrichtlinie. Klicken Sie dann auf Neue Kennwortrichtlinie erstellen).
  1. Klicken Sie auf Neue Kennwortrichtlinie erstellen
  2. Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus, indem Sie auf seinen Namen in der Liste Gruppenrichtlinienobjekt klicken, oder klicken Sie auf Neues Gruppenrichtlinienobjekt..., um ein neues Gruppenrichtlinienobjekt zu erstellen, das mit dieser Organisationseinheit und Richtlinie verknüpft wird. Standardmäßig gilt das GPO für alle Benutzer der Gruppe. Sie können auch filtern, für welche Benutzer das GPO gilt, indem Sie Sicherheitsgruppen hinzufügen.
  3. Klicken Sie auf OK.
  4. Wählen Sie eine Vorlage aus der Liste oder wählen Sie Benutzerdefiniert, wenn Sie eine neue Richtlinie erstellen möchten, und klicken Sie dann auf Weiter.
  5. Konfigurieren Sie die Richtlinie und klicken Sie dann auf OK.

Weitere Informationen zur Richtlinienkonfiguration finden Sie im Abschnitt Richtlinieneinstellungen.

Bearbeiten einer bestehenden Richtlinie

HINWEIS
Die Standard-Domain-Richtlinie kann nicht bearbeitet werden und wirkt sich auf alle Benutzer in der Domain aus, es sei denn, für sie gilt eine fein abgestufte Kennwortrichtlinie.
HINWEIS
Sie können eine Richtlinie über das Domain-Verwaltungstool oder über den Gruppenrichtlinien-Verwaltungseditor bearbeiten (erweitern Sie den Knoten Benutzerkonfiguration, Windows-Einstellungen und wählen Sie Specops Password Policy und klicken Sie dann auf Neue Kennwortrichtlinie erstellen).
  1. Wählen Sie in der Spalte Kennwortrichtlinie das GPO aus, dessen Richtlinie Sie bearbeiten möchten.
  2. Klicken Sie auf Richtlinie bearbeiten
  3. Bearbeiten Sie die Richtlinie und klicken Sie dann auf OK.

Weitere Informationen zur Richtlinienkonfiguration finden Sie im Abschnitt Richtlinieneinstellungen.

Entfernen Richtlinie aus einem GPO

  1. Wählen Sie in der Spalte Kennwortrichtlinie das GPO aus, dessen Richtlinie Sie entfernen möchten.
  2. Klicken Sie auf Richtlinie entfernen.
  3. Klicken Sie im Bestätigungs-Pop-up auf Ja. Die Police wird aus der Liste gestrichen.

Domain-Einstellungen

Unter der Registerkarte Domain-Einstellungen können Sie folgende Aufgaben durchführen:

  • Sicherheitsgruppen aktivieren und bearbeiten: Aktivieren Sie die Lesergruppe zur längenbasierten Kennwortalterung und erstellen oder aktivieren Sie die Specops Password Policy Admins-Gruppe (siehe unten)
  • SMTP-Einstellungen Hier können die globalen SMTP-Einstellungen für alle E-Mail-Benachrichtigungen konfiguriert werden. Folgende Einstellungen müssen konfiguriert werden:
    HINWEIS
    Sie sollten die SMTP-Einstellungen im Domain-Verwaltungstool konfigurieren, bevor Änderungen an den E-Mail-Vorlagen im Gruppenrichtlinien-Snap-In vorgenommen werden. Wenn die SMTP-Einstellungen im Domain-Verwaltungstool nicht festgelegt wurden, wird bei der Anwendung von Änderungen an den E-Mail-Vorlagen im Gruppenrichtlinien-Snap-In eine Warnung angezeigt, die den Administrator darauf hinweist, dass die SMTP-Einstellungen im Domain-Verwaltungstool konfiguriert werden müssen.
    • E-Mail-Versandsystem: Sentinel Service oder Arbiter
    • Der SMTP-Server
    • TLS verwenden: Wenn aktiviert, wird die Kommunikation zwischen dem Client und dem SMTP-Server verschlüsselt)
    • Port (Port, über den ausgehende E-Mails gesendet werden sollen; Standard ist Port 25
    • Authentifizierung: Legt die Methode für die Authentifizierung beim SMTP-Server fest: Anonymer Zugriff, Basisauthentifizierung oder integrierte Windows-Authentifizierung
    • Standard-E-Mail-Adresse des Absenders
    • Standardabsender-Anzeigename
    • E-Mail-Adresse für Verwaltungsbenachrichtigungen

    Weitere Informationen zu allen Benachrichtigungseinstellungen finden Sie auf der Seite Benachrichtigungen.

  • Benutzerdefinierte Attribute
    Wenn die E-Mail-Adresse bzw. die Telefonnummer in Active Directory nicht in den Standardfeldern E-Mail bzw. Mobiltelefon gespeichert sind, können sie hier überschrieben werden.
  • Erweiterte Sicherheitseinstellungen

    Speichern des vorherigen Kennworts mit umkehrbarer Verschlüsselung: Ermöglicht es Ihnen, das vorherige Kennwort des Benutzers mit reversibler Verschlüsselung im Active Directory zu speichern.
    Eine umkehrbare Verschlüsselung ist für folgende Einstellungen erforderlich:

    • Verbot der Wiederverwendung eines Teils des aktuellen Kennworts
    • Mindestanzahl geänderte Zeichen
      HINWEIS
      Wenn dieses Kontrollkästchen nicht aktiviert ist, wird das Kennwort mit einer Einwegverschlüsselung gespeichert.

Erstellen der Specops Password Policy-Administratorgruppe:

  1. Klicken Sie auf die Schaltfläche Erstellen neben der Angabe Specops Password Policy Administratorgruppe.
  2. Sie können den empfohlenen Namen und den Ort der Gruppenerstellung annehmen oder ändern. Der Ort wird geändert, indem man den Distinguished Name eines Containers eingibt.
    HINWEIS
    Der Distinguished Name kann auch aus den Eigenschaften des Containers im Active Directory kopiert werden. Name und Ort dieser Sicherheitsgruppe können auch nach der Erstellung geändert werden. Nach der Erstellung erfolgende Änderungen werden im Active Directory vorgenommen.
  3. Klicken Sie auf OK.

Password Policy Sentinels

Der Sentinel-Dienst ist als Teil von Specops Password Policy stets installiert. Der Dienst ist im Rahmen der Specops Password Policy Sentinel MSI installiert und sollte auf allen Domain-Controllern mit Schreibzugang in der Active Directory-Domain installiert sein. Der Dienst ist für die Benutzerzählung, den Ablauf des Kennworts und Breached Password Protection Complete zuständig. Wenn Breached Password Protection Complete verwendet wird, kann von allen Domain-Controllern mit Schreibzugang auf den Sentinel-Dienst zugegriffen werden. Andernfalls kann lediglich auf den für die Benutzerzählung verwendeten DC zugegriffen werden (standardmäßig der PDC-Emulator).

WARNUNG
Der Sentinel-Dienst ist eine kritische Komponente von Specops Password Policy. Es wird empfohlen, den Sentinel-Dienst auf allen Domain-Controllern zu überwachen, um sicherzustellen, dass er stets ausgeführt wird.

Sie können das Menü Password Policy Sentinel verwenden, um zu überprüfen, ob Sie den Sentinel auf allen beschreibbaren Domain-Controllern installiert haben. Wenn Sie feststellen, dass auf einem Domain-Controller die Sentinel-Komponente fehlt, können Sie wie folgt vorgehen:

  • Führen Sie den Setup-Assistenten erneut aus, um die Komponente zu installieren, oder
  • Installieren Sie die Sentinel-Komponente manuell auf dem betroffenen Domain-Controller

Kontrolle des Sentinel-Status

Der Sentinel-Status kann sowohl im Setup-Assistenten als auch im Domain-Verwaltungstool kontrolliert werden.

Kontrolle des Status im Domain-Verwaltungstool

  1. Klicken Sie auf Password Policy Sentinels.
  2. Klicken Sie den Domain-Controller an, den Sie kontrollieren möchten.
    HINWEIS
    Bitte beachten Sie, dass die Spalte Domain-Controller durch Klicken auf die Spaltenüberschrift sortiert werden kann.
  3. In der Tabelle auf der rechten Seite können Sie zwei Statusangaben sehen: Allgemeiner Status (ob der Sentinel auf diesem DC installiert und aktuell ist) und Service-Status (vgl. die folgende Liste mit Statusmeldungen).

Kontrolle des Status im Setup-Assistenten

  1. Klicken Sie auf Domain Controller Sentinel.
  2. Machen Sie einen Rechtsklick auf die Spalte Sentinel-Status des DC, den Sie kontrollieren möchten, und wählen Sie Details anzeigen.
  3. Die Pop-up-Meldung zeigt zwei Statusangaben an: Allgemeiner Status (ob der Sentinel auf diesem DC installiert und aktuell ist) und Service-Status (vgl. die folgende Liste mit Statusmeldungen).

Sentinel-Statusmeldungen

  • Nicht erreichbar
  • Zugriff verweigert
  • Unbekannter Fehler
  • Nicht installiert
  • Alte Version
  • Neuere Version installiert
  • Neustart erforderlich
  • OK

Sortierung des Sentinel-Status

Um die Sentinels, die Ihrer Aufmerksamkeit bedürfen, in einer Tabelle mit langen Listen von Domain-Controllern leichter auffindbar zu machen, wird die Liste dynamisch dargestellt. Sentinels, deren Status nicht OK ist, erscheinen im oberen Abschnitt der Tabelle. Die Tabelle sortiert zunächst nach Sentinel-Status und dann nach Namen.

Aktivieren und Deaktivieren der Sentinel Web-API

Weitere Informationen zum Aktivieren und Deaktivieren der Sentinel Web-API finden Sie auf der Seite Password Policy Sentinel.

Password Policy Arbiters

Der Specops Password Arbiter wird als Teil von Specops Password Policy verwendet. Der Arbiter ist für Breached Password Protection Complete und Benachrichtigungen über die cloud-basierte Specops BPP-API zuständig. Sofern entsprechend konfiguriert, kann er auch zum Senden von SMTP-Mail genutzt werden. Wenn Sie Funktionen nutzen, die einen Arbiter erfordern, muss mindestens ein Arbiter installiert sein. Der Arbiter erfordert eine Internetverbindung zur Specops BPP-API. Es wird empfohlen, Arbiter auf Servern zu installieren, die keine Domain-Controller sind. Wenngleich ein Arbiter für die gesamte AD-Domain in vielen Fällen ausreichend ist, ist es möglich, mehrere Arbiter zu installieren (z. B. ein oder zwei Arbiter pro Site im Active Directory), um den Umlauf zu minimieren.

WARNUNG
Es wird empfohlen, Arbiter regelmäßig zu überwachen, um sicherzustellen, dass sie stets in Betrieb sind.

In der Tabelle in diesem Abschnitt mit einer Liste aller installierter Arbiter finden Sie Informationen zu deren Status. Die folgenden Informationen sind für alle Arbiter verfügbar:

  • Servername: Der Name des Servers, auf dem der Arbiter installiert ist.
  • Sites: Sites, die mit diesem Arbiter verknüpft sind.
  • Online: Zeigt an, ob der Arbiter verfügbar ist.
  • Version: Versionsnummer des Arbiters.
  • API-Schlüssel: Zeigt an, ob der Arbiter mit einem API-Schlüssel verknüpft ist.
  • Aktionen: Schaltfläche für zusätzliche auf dem Arbiter ausgeführte Aktionen.

Aktionen

Die Schaltfläche Aktionen (...) bietet Zugriff auf eine Reihe von Aktionen, die auf jedem Arbiter durchgeführt werden können.

Einen API-Schlüssel importieren

HINWEIS
API-Schlüssel werden vom Produktsupport bereitgestellt.
  1. Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
  2. Wählen Sie API-Schlüssel importieren aus der Dropdown-Liste aus.
  3. Kopieren Sie den erhaltenen API-Schlüssel in Ihre Zwischenablage.
    HINWEIS
    Stellen Sie sicher, dass Sie sowohl den Start-Tag (--- BEGIN API KEY ---) als auch den End-Tag (--- END API KEY ---) einbeziehen.
  4. Fügen Sie den gesamten API-Schlüssel in das Fenster API-Schlüssel hinzufügen ein.
    HINWEIS
    Wenn der API-Schlüssel vor dem Öffnen des Fensters in die Zwischenablage kopiert wurde, fügt die Anwendung den Schlüssel automatisch ins Fenster ein.
  5. Klicken Sie auf OK.

Arbiter-Cloud-Informationen anzeigen

Zeigt die Cloud-URL an, die mit dem Arbiter verknüpft ist.

  1. Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
  2. Wählen Sie Cloud-Informationen anzeigen aus der Dropdown-Liste aus.

Die Cloud-Verbindung des Arbiters testen

Testen Sie die Verbindung des Arbiters mit der Breach Protection-API.

  1. Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
  2. Wählen Sie Cloud- Verbindung testen aus der Dropdown-Liste aus.

Sites konfigurieren

Active Directory-Sites werden häufig zu Verwaltung von Organisationen genutzt, die Zweigstellen an unterschiedlichen geographischen Standorten haben, jedoch unter dieselbe Domain fallen. Dies ist eine Lösung, um ein Active Directory-Netzwerk geografisch zu verwalten, ohne die logische Struktur der Umgebung zu verändern. Sites sind physische Gruppierungen gut vernetzter IP-Subnetze, die zum Replizieren von Informationen auf verschiedenen Domain-Controllern genutzt werden.

Um besser kontrollieren zu können, auf welchen Arbiter von jeder/jedem (geographischen) Standort/Site zugegriffen wird, können Sie Sites in Ihrer Struktur mit bestimmten Domain-Controllern verknüpfen. Arbiter können für eine oder mehrere Sites in Ihrer Struktur konfiguriert werden. Dies bedeutet, dass die Domain-Controller der Site mit den Arbiters derselben Site verbunden werden.

  1. Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
  2. Wählen Sie Sites konfigurieren aus der Dropdown-Liste aus.
  3. Aktivieren Sie das Kontrollkästchen für die Site(s), die Sie als für diesen Arbiter bevorzugte Site(s) einstellen möchten.
    HINWEIS
    Per Vorauswahl ist der Arbiter in Arbiter auswählen eingestellt, dessen Aktionsschaltfläche Sie angeklickt haben. Alternativ können Sie einen anderen Arbiter aus der Dropdown-Liste auswählen.
  4. Klicken Sie auf Speichern.
HINWEIS
  • Wenn keine bevorzugten Sites konfiguriert sind, wird ein Arbiter nach dem Rotationsprinzip ausgewählt.
  • Wenn mehrere Arbiter an derselben Site konfiguriert sind, werden diese (und nicht die an anderen Sites konfigurierten) Arbiter für diese bestimmte Site nach dem Rotationsprinzip ausgewählt.

Einen Arbiter abmelden

  1. Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
  2. Wählen Sie Arbiter abmelden aus der Dropdown-Liste aus.
  3. Klicken Sie auf Ja im Fenster Arbiter abmelden. Der Arbiter wird aus der Liste der Arbiter entfernt.

Einen neuen Arbiter registrieren

In Ihrer Struktur können mehrere Arbiter installiert sein. Wenngleich ein Arbiter für die gesamte AD-Domain in vielen Fällen ausreichend ist, ist es möglich, mehrere Arbiter zu installieren (z. B. ein oder zwei Arbiter pro Site im Active Directory), um den Umlauf zu minimieren. Siehe auch den Abschnitt „Sites konfigurieren“ oben.

  1. Stellen Sie sicher, dass die Arbiter-MSI, die Sie hinzufügen möchten, auf dem entsprechenden Server installiert ist.
  2. Klicken Sie auf die Schaltfläche Neuen Arbiter registrieren.
  3. Geben Sie im Fenster Computer auswählen den Namen des Servers ein, auf dem der Arbiter installiert ist. Nutzen Sie die Schaltfläche Namen prüfen, um den richtigen Computer zu identifizieren.
  4. Klicken Sie auf OK.

Periodisches Scannen

Das periodische Scannen wird einmal täglich vom ausgewählten Domain-Controller ausgeführt. Mit diesem Scan werden Lizenzinformationen geprüft und Konten bei wichtigen Richtlinienereignissen gekennzeichnet, darunter Kennwortablauf und Breached Password Protection. Standardmäßig wird der periodische Scan um 00:05 Uhr auf dem PDC-Emulator DC ausgeführt. Die Option zum Speichern der Liste von Benutzern mit kompromittierten Kennwörter ist standardmäßig deaktiviert.

Einstellungen

Im Abschnitt Einstellungen können Sie konfigurieren, zum welchem Tageszeitpunkt der periodische Scan ausgeführt werden soll und wie viele Berichte aus diesem periodischen Scan generiert werden sollen. Bitte beachten Sie, dass angezeigte Zeit die Ortszeit des ausgewählten Domain-Controllers ist.

Domain-Controller, Zeit und gespeicherte Berichte für periodischen Scan bearbeiten

  1. Klicken Sie im Abschnitt Periodischer Scan auf die Schaltfläche Bearbeiten.
  2. Klicken Sie im ausgewählten Domain-Controller-Abschnitt auf die Schaltfläche Domain-Controller auswählen.
    1. Nutzen Sie die Optionsschaltfläche, um eine der folgenden Optionen zu wählen:
      • PDC-Emulator auswählen
      • Von Domain-Controller mit Schreibzugang auswählen
    2. Wenn Von Domain-Controller mit Schreibzugang auswählen ausgewählt wurde, wählen Sie Ihren bevorzugten Domain-Controller aus der Liste aus.
    3. Klicken Sie auf OK.
  3. Wählen Sie im Abschnitt Ausgewählte Zeit aus, zu welchem Zeitpunkt der periodische Scan durchgeführt werden soll.
    HINWEIS
    Standardmäßig ist der periodische Scan auf 12:05 Uhr eingestellt.
  4. Klicken Sie auf OK.
  5. Setzen Sie die Dropdown-Liste Liste von Benutzern mit kompromittierten Kennwörtern speichern auf Ja, wenn Sie eine Liste dieser Konten speichern möchten (nur für Kunden, die Breached Password Protection verwenden).
    HINWEIS
    Wenn Liste von Benutzern mit kompromittierten Kennwörtern speichern auf Ja gesetzt ist, zeigt Ergebnis des periodischen Scans den Link Konten anzeigen an, über den das Fenster Konten mit kompromittierten Kennwörtern für Breached Password Protection Express und Breached Password Protection Complete geöffnet wird.
  6. Stellen Sie die Anzahl der zu speichernden Berichte ein.

Weitere Informationen zum periodischen Scannen finden Sie auf der Seite Berichterstattung.

Ausführen des periodischen Scans

In diesem Abschnitt erfahren Sie, ob derzeit ein periodischer Scan ausgeführt wird. Wenn ein periodischer Scan läuft, kann dieser durch Klicken auf die Schaltfläche Abbrechen gestoppt werden. Abhängig von der Größe des Active Directory und der Leistung des Domain-Controllers kann der Scan einige Sekunden bis Stunden dauern.

Immer wenn ein periodischer Scan ausgeführt wird, wird ein Balken mit dem Fortschritt des Scans angezeigt.

Ergebnis des letzten periodischen Scans

Die Ergebnisse des letzten durchgeführten periodischen Scans können hier eingesehen werden.

Primär

In diesem Abschnitt erfahren Sie, wann und für welche Domain der periodische Scan durchgeführt wurde. Außerdem wird die Anzahl der verarbeiteten Konten aufgeführt und ob es sich um einen planmäßigen oder manuellen Scan handelte.

Auftrag zur Lizenzvalidierung

Zeigt die Gesamtanzahl der Benutzerkonten an und wie viele von ihnen von einem Specops Password Policy-GPO betroffen sind.

Auftrag zum Kennwortablauf

In diesem Abschnitt wird die Anzahl der Konten angezeigt, bei denen eine Kennwortänderung erforderlich ist, sowie die mit diesen Kennwortablaufereignissen verbundenen Benachrichtigungen.

Breached Password Protection Express Auftrag

In diesem Abschnitt werden Informationen zu Konten angezeigt, die von Breached Password Protection Express betroffen sind.

Breached Password Protection Complete Auftrag

In diesem Abschnitt werden Informationen zu Konten angezeigt, die von Breached Password Protection Complete betroffen sind.

Einen manuellen periodischen Scan einleiten

HINWEIS
Ein manueller periodischer Scan kann nicht eingeleitet werden, wenn bereits ein (planmäßiger) periodischer Scan läuft. Um in solchen Fällen einen manuellen periodischen Scan zu starten, stoppen Sie zunächst den laufenden Scan.
  1. Klicken Sie auf die Schaltfläche Neuen Scan starten.
  2. Im Fenster Auf kompromittierte Kennwörter scannen wählen Sie aus, welche Aufträge der Scan ausführen soll. Folgende Aufträge können ausgewählt werden:
    • Auftrag zur Lizenzvalidierung
    • Auftrag zum Kennwort-Ablauf
    • Breached Password Protection Express Auftrag
    • Breached Password Protection Complete Auftrag
    HINWEIS
    Um den Scan starten zu können, muss mindestens ein Auftrag ausgewählt werden.
  3. Klicken Sie auf die Schaltfläche Scan starten.
  4. Klicken Sie auf Schließen.
    HINWEIS
    Dieser Scan läuft auch nach Schließen dieses Fensters weiter.

Sprachdateien

Im Menü Sprachdateien können Sie Sprachdateien auf neue Versionen aktualisieren. Eine Aktualisierung erfolgt nur, wenn auf dem Computer, auf dem das Domain-Verwaltungstool installiert ist, nach einem Upgrade neue Sprachdateiversionen verfügbar sind.

Nutzung

Die Sprachdateien werden verwendet, um den Benutzern im Zuge einer Kennwortänderung sämtliche Texte anzuzeigen. Wenn eine Sprachdatei erkannt wird, die mit den Spracheinstellungen des Benutzers (System) übereinstimmt, wird diese Sprache für Anzeigezwecke verwendet. Ist keine passende Sprachdatei vorhanden, kommt die Standardsprache Englisch zum Einsatz.

Die Sprachdateien werden auf den Domain-Controllern gespeichert.

Verfügbare Sprachen

Folgende Sprachen sind verfügbar:

  • Englisch (Standard)
  • Aserbaidschanisch
  • Chinesisch (vereinfacht)
  • Chinesisch (traditionell)
  • Tschechisch
  • Dänisch
  • Niederländisch
  • Finnisch
  • Französisch
  • Deutsch
  • Hindi
  • Ungarisch
  • Italienisch
  • Japanisch
  • Koreanisch
  • Norwegisch
  • Polnisch
  • Portugiesisch
  • Rumänisch
  • Russisch
  • Serbisch
  • Slowakisch
  • Slowenisch
  • Spanisch
  • Schwedisch
  • Thailändisch
  • Türkisch
  • Ukrainisch
  • Walisisch

Vorlagen für Kennwortrichtlinien

Sie können den Knoten Kennwortrichtlinienvorlagen verwenden, um eine neue Kennwortrichtlinienvorlage zu erstellen oder eine vorhandene Vorlage mit Empfehlungen von NIST, NCSC, Microsoft und NSA anzuzeigen. Eine Vorlage für Kennwortrichtlinien hilft Ihnen, Ihre Richtlinieneinstellungen in Ihrer gesamten Domain konsistent zu halten.

Ansicht der vorhandenen Vorlagen

  1. Erweitern Sie das Menü Kennwortrichtlinienvorlage, indem Sie auf das Plus-Symbol klicken.
  2. Wählen Sie eine vorhandene Vorlage in der Liste aus, um ihre Einstellungen anzuzeigen.

Eine neue Kennwortrichtlinienvorlage erstellen

  1. Klicken Sie auf Neue Kennwortrichtlinienvorlage erstellen.
  2. Geben Sie im Feld Vorlagenname einen Namen für die Vorlage ein.
  3. Geben Sie in das Feld Beschreibung eine Beschreibung für die Vorlage ein.
  4. Legen Sie die Einstellungen fest und klicken Sie auf Speichern.

Eine vorhandene Kennwortrichtlinienvorlage verwenden

  1. Erweitern Sie den Knoten Gruppenrichtlinien-Verwaltungseditor Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Kennwortrichtlinie.
  2. Klicken Sie auf Neue Kennwortrichtlinie aus Vorlage erstellen. Wählen Sie eine Kennwortrichtlinienvorlage aus, die für die Gruppenrichtlinie verwendet werden soll.
  3. Wenn Sie die Microsoft- oder NSA-Vorlagen ausgewählt haben, werden Sie auf die Seite mit den Richtlinieneinstellungen weitergeleitet, wo Sie weitere Konfigurationsoptionen finden. Wenn die NIST- und NCSC-Vorlagen ausgewählt sind, werden Sie zu folgenden Schritten aufgefordert:
    1. Erstellen Sie eine Liste der nicht zugelassenen Wörter.
    2. Laden Sie das Kennwort-Wörterbuch für die Vorlage herunter. Das Wörterbuch ist eine Kombination von Kennwortlisten, die für Eindringtests entwickelt wurden.
    3. Legen Sie ein maximales Kennwortalter für die von der Richtlinie betroffenen Benutzer fest, um die Kennwörter proaktiv mit den Verzeichnissen zu vergleichen und die Erstellung anfälliger Kennwörter zu verhindern. Dies ist eine Empfehlung von Specops, um Ihnen zu helfen, sich vor den neuesten Wörterbuchlisten zu schützen.
    4. Wenn die NCSC-Vorlage ausgewählt ist, werden Sie aufgefordert, eine Mindestkennwortlänge für die von der Richtlinie betroffenen Benutzer festzulegen.
    5. Sie werden zur Seite mit den Richtlinieneinstellungen weitergeleitet, wo Sie weitere Konfigurationsoptionen finden. Klicken Sie auf OK, wenn Sie fertig sind.

Specops Password Auditor

Der Specops Password Auditor scannt Ihr Active Directory und erkennt sicherheitsrelevante Schwachstellen, insbesondere im Zusammenhang mit Kennwortrichtlinien.

Zum Starten klicken Sie auf Specops Password Auditor.

Für weitere Informationen über den Specops Password Auditor klicken Sie hier.

Schutz vor verletzten Kennwörtern

Breached Password Protection Complete

Mit Specops Breached Password Protection Complete können Sie sicherstellen, dass Benutzer keine Kennwörter verwenden können, die bekannterweise gefährdet sind.

Beachten Sie, dass Specops Breached Password Protection vom Arbiter gehandhabt wird. Öffnen Sie das Menü Password Policy Arbiters, um Informationen einzusehen und API-Schlüssel zu importieren.

Im Menü Password Policy Arbiters im Domain-Verwaltungstool können Sie:

  • API-Schlüssel importieren
  • Cloud-Verbindungen testen
  • Abmelden
  • Einen neuen Arbiter registrieren

Breached Password Protection Express

Die Breached Password Express-Liste ist eine umfangreiche Sammlung kompromittierter Kennwörter, die Sie herunterladen können, um zu verhindern, dass Benutzer ein Kennwort aus dieser Liste verwenden. Im Domain-Verwaltungstool können Sie:

  • Die neueste Version der Liste herunterladen