Specops Breached Password Protection

Specops Password Policy (Version 7.0 und höher) ist kompatibel mit Specops Breached Password Protection. Die Breached Password Protection Liste ist eine Liste kompromittierter und geleakter Passwörter. Wenn Sie Administrator sind, können Sie verhindern, dass Benutzer Passwörter verwenden, die in dieser Liste enthalten sind. Es ist auch möglich, die Liste kontinuierlich zu überprüfen, sodass Benutzer gewarnt werden können, sobald kompromittierte Passwörter zur Liste hinzugefügt werden (Continuous Scan).

Die Liste von über drei Milliarden kompromittierten Passwörtern wird von Specops Software kuratiert und ist eine Kombination aus Tausenden von verschiedenen Quellen kompromittierter Passwörter, einschließlich solcher, die in aktuellen Angriffen verwendet werden oder auf bekannten Listen kompromittierter Passwörter wie HaveIBeenPwned stehen, was die Einhaltung von Branchenvorschriften wie NIST oder NCSC erleichtert. Die Datenerfassungssysteme unseres Forschungsteams zur Überwachung von Angriffen aktualisieren den Dienst täglich und stellen sicher, dass Netzwerke vor realen Passwortangriffen geschützt sind, die gerade jetzt stattfinden.

Breached Password Protection Complete:

Enthält die Hauptliste der geleakten Passwörter, die in der Cloud gespeichert ist, sodass sie immer auf dem neuesten Stand ist.

Hinweis

Dies ist kein Zero-Day-Schutz, da die geleakte Passwortliste in unserem anerkannten Format zur Datenbank hinzugefügt werden muss.
Wenn ein Benutzer sein Passwort in eines ändert, das in der geleakten Passwortliste enthalten ist, benachrichtigt Breached Password Protection Complete den Benutzer per E-Mail oder SMS. Sein Konto wird ebenfalls markiert, was den Benutzer zwingt, sein Passwort bei der nächsten Anmeldung zu ändern.
Wenn Continuous Scan aktiviert ist, werden Benutzer über kompromittierte Passwörter informiert, sobald sie zur Liste hinzugefügt werden (wenn Benachrichtigungen konfiguriert sind), oder sie werden gezwungen, ihr Passwort bei der nächsten Anmeldung zu ändern.
Erfordert mehr Infrastruktur in Active Directory, einschließlich der Installation des Specops Arbiter und dem Herunterladen eines API-Schlüssels. Dies erfordert einen zusätzlichen Server, auf dem Sie den Specops Arbiter installieren, der mit der Breached Password Protection Cloud API kommuniziert.

Breached Password Protection Express:

Verwendet einen Teil der Liste der geleakten Passwörter, die normalerweise alle 3-4 Monate aktualisiert wird.
Die Liste wird in Active Directory heruntergeladen (wird die Replikation zwischen Domänencontrollern beeinflussen).
Administratoren müssen manuell überprüfen, ob es Updates für die Liste der geleakten Passwörter gibt, und dann die aktualisierte Liste herunterladen.
Verhindert sofort, dass ein Benutzer zu einem geleakten Passwort wechselt.
Überprüft kontinuierlich auf kompromittierte Passwörter.

Breached Password Protection checks explained

Es gibt drei Hauptunterschiede zwischen Breached Password Protection Express und Breached Password Protection Complete:

Die Größe der Datenbank: Breached Password Protection Complete hat einen viel größeren Satz kompromittierter Passwörter.
Der Inhalt der Datenbank: Breached Password Protection Complete wird kontinuierlich aktualisiert, während Breached Password Protection Express alle 3 oder 4 Monate aktualisiert wird.
Der Zeitpunkt, zu dem die Überprüfung durchgeführt wird:
- Breached Password Protection Express führt Überprüfungen bei Passwortänderungen sowie kontinuierliche (z. B. nächtliche) Überprüfungen durch.
- Breached Password Protection Complete führt seine Überprüfung unmittelbar nach der Passwortänderung durch.

Breached Password Protection Complete flow example (Password Change)

Das folgende ist ein Beispiel dafür, wie die Breached Password Protection Complete Überprüfung durchgeführt wird.

Der Benutzer ändert sein Passwort.
Wenn das neue Passwort allen anderen Passwort-Richtlinienregeln entspricht, wird das neue Passwort übermittelt (der Benutzer kann sein neues Passwort verwenden).
Das Passwort wird mit der Breached Password Protection Complete Datenbank abgeglichen.
Wenn das Passwort als kompromittiert erkannt wird, wird das Konto des Benutzers markiert, und er muss sein Passwort bei der nächsten Anmeldung ändern.
Das Passwort wird erst bei der nächsten Passwortänderung mit der Breached Password Protection Complete Datenbank abgeglichen.

Breached Password Protection Express flow example

Das folgende ist ein Beispiel dafür, wie die Breached Password Protection Express Überprüfung durchgeführt wird.

Der Benutzer ändert sein Passwort.
Das neue Passwort wird bei der Passwortänderung mit der Breached Password Protection Express Datenbank abgeglichen.
Wenn das Passwort als kompromittiert erkannt wird, darf der Benutzer die Änderung nicht übermitteln. Wenn nicht, wird das neue Passwort übermittelt.
Breached Password Protection Express überprüft das Passwort kontinuierlich (z. B. nächtlich) mit der Datenbank.
Wenn das Passwort bei nachfolgenden Überprüfungen als kompromittiert erkannt wird (vorausgesetzt, die Breached Password Protection Express Datenbank wurde inzwischen aktualisiert), wird das Konto des Benutzers markiert und er muss sein Passwort bei der nächsten Anmeldung ändern.

Breached Password Protection flow example (Continuous Scan)

Das folgende ist ein Beispiel dafür, wie die Breached Password Protection Überprüfung für den kontinuierlichen Scan durchgeführt wird.

Ein kontinuierlicher Scan der Liste wird durchgeführt (entweder Breached Password Protection Express oder Breached Password Protection Complete).
Das Passwort des Benutzers wird als kompromittiert erkannt.
Der Benutzer wird per Textnachricht oder E-Mail benachrichtigt (wenn so konfiguriert) und/oder der Benutzer wird gezwungen, sein Passwort bei der nächsten Anmeldung zu ändern (wenn so konfiguriert).

Using Breached Password Protection Express together with Breached Password Protection Complete

Sie können Breached Password Protection Complete und Breached Password Protection Express gleichzeitig konfigurieren und aktivieren, indem Sie im Passwortänderungsmenü die Kontrollkästchen Passwörter aus der lokalen Express-Liste verhindern und Überprüfung von Passwörtern über die Complete API aktivieren auswählen. Der Vorteil der Verwendung beider ist, dass Passwörter mit der größeren Complete-Datenbank abgeglichen werden, während gleichzeitig direktes Feedback bei der Passwortänderung gegeben wird, wenn das neue Passwort in der Express-Liste gefunden wird. Wenn Benutzer ihr Passwort ändern, überprüft Breached Password Protection Express, ob das Passwort in der heruntergeladenen Liste der geleakten Passwörter enthalten ist. Wenn das Passwort in der in Ihrer lokalen Umgebung gespeicherten Express-Liste gefunden wird, verhindert die Breached Password Protection Express-Regel, dass der Benutzer zu diesem Passwort wechselt. Wenn es nicht in der lokal gespeicherten Liste gefunden wird, wird das Passwort bei der Übermittlung des neuen Passworts mit der in Breached Password Protection Complete gefundenen Liste abgeglichen. Wenn es in der Complete-Liste gefunden wird, wird das Konto des Benutzers mit einer „Muss Passwort ändern“-Benachrichtigung markiert und er wird aufgefordert, sein Passwort bei der nächsten Anmeldung zu ändern.

Anforderungen

Komponente	Anforderungen
Specops Password Policy Sentinel	Windows Server 2012 R2 oder höher .Net Framework 4.7.1 oder höher Beschreibbarer Domänencontroller
Specops Arbiter	.NET 4.7.1 oder höher Windows Server 2012 R2 oder höher
Breached Password Protection Express Updates	Festplattenspeicher Dictionaries für Specops Password Breached Password Protection Express werden heruntergeladen und in sysvol gespeichert, repliziert auf jeden Domänencontroller. 13 GB freier Speicherplatz in sysvol auf jedem Domänencontroller. Temporär: Zusätzliche 13 GB auf dem Administrationscomputer, auf dem die Wörterbücher heruntergeladen werden.

Komponenten

Specops Password Policy mit Breached Password Protection besteht aus den folgenden Komponenten.

Specops Password Policy Sentinel

Das Specops Password Policy Sentinel ist ein Installationspaket, das auf allen beschreibbaren Domänencontrollern in einer Domäne installiert werden muss.

Das Specops Sentinel besteht aus dem Sentinel Password Filter und dem Sentinel Service.

Sentinel Password Filter

Der Sentinel Password Filter ist ein Windows Password Filter, der überprüft, ob ein neues Passwort den dem Benutzer zugewiesenen Specops Password Policy-Einstellungen entspricht.

Wenn die Validierung mit Specops Breached Password Protection konfiguriert ist, schreibt der Sentinel Password Filter eine Breached Password Protection-Validierungsanfrage-Datei für jedes neue Passwort (Passwortänderung/-zurücksetzung), wie in den Specops Password Policy GPO-Einstellungen konfiguriert.

Sentinel Service

Der Sentinel Service (Windows Service) ist eine Komponente der Specops Password Policy. Der Sentinel Service wird immer als Teil des Specops Password Policy Sentinel installiert, ist jedoch nur wirksam, wenn die Breached Password Protection-Validierung konfiguriert ist.

Der Sentinel Service nimmt die Breached Password Protection-Validierungsanfragen aus dem Warteschlangenordner und leitet sie an den Breached Password Protection Arbiter weiter, der bestimmt, ob das Passwort erlaubt ist oder kompromittiert wurde. Abhängig von den Specops Password Policy GPO-Einstellungen kann der Breached Password Protection Service durchsetzen, dass der Benutzer das Passwort bei der nächsten Anmeldung ändern muss, wenn Passwörter kompromittiert sind.

Der Sentinel Service läuft als lokales System und darf standardmäßig das Flag Benutzer muss Passwort bei der nächsten Anmeldung ändern für betroffene Benutzer setzen.

Installationsanforderungen: .NET 3.5 SP1 oder höher

Breached Password Protection Arbiter

Der Breached Password Protection Arbiter ist eine Komponente der Specops Password Policy und sollte auf einem Server mit Internetverbindung installiert werden. Ein einzelner Arbiter ist für die meisten Organisationen ausreichend. Wenn Ihre Organisation Redundanz benötigt, werden zusätzliche Arbiters empfohlen.

Der Breached Password Protection Arbiter fungiert als Gateway zwischen dem Breached Password Protection Service und der Specops Breached Password Protection Cloud API, wo die Liste der geleakten Passwörter zu finden ist. Der Breached Password Protection Arbiter verwendet einen API-Schlüssel, um mit der Breached Password Protection Cloud API zu kommunizieren.

Der Arbiter läuft als Netzwerkdienst und hat standardmäßig nur Lesezugriff auf Active Directory. Durch das Lesen der Specops Password Policy-Einstellungen kann der Arbiter die erforderlichen Aktionen bestimmen, wenn ein Passwort-Hash in der Breached Password Protection-Liste gefunden wird.

Um die Breached Password Protection-Validierung zu verwenden, muss mindestens ein Arbiter in der Domäne installiert sein. Organisationen, die Specops Password Policy ohne Breached Password Protection-Validierung verwenden, müssen den Arbiter nicht installieren.

Installationsanforderungen: .NET 4.7.1 oder höher

Hinweis

Die Breached Password Protection Express-Einstellungen erfordern nicht die Passwort Breached Password Protection Arbiter-Komponente.

Breached Password Protection Cloud API

Die Breached Password Protection Cloud API, gehostet von Specops in der Cloud, ist eine Komponente der Specops Password Policy.

Die Breached Password Protection Cloud API hostet eine umfangreiche Liste geleakter Passwörter.

Hinweis

Die Breached Password Protection Express-Einstellungen erfordern nicht die Breached Password Protection Arbiter-Komponente.

Configuring Breached Password Protection Complete (Complete API)

Um Breached Password Protection Complete zu konfigurieren, müssen Sie:

Installieren Sie Specops Password Policy Sentinel auf allen Domänencontrollern. Die gleiche Version muss auf allen Domänencontrollern installiert sein. Anweisungen

Hinweis

Specops Password Policy-Kunden, die Version 6.8.18106.1 oder früher ausführen, benötigen einen neuen Lizenzschlüssel.
Installieren Sie einen (oder mehrere) Arbiters in der/den Domäne(n) Anweisungen
Registrieren Sie den/die Arbiter im Specops Password Policy Domain Administration Tool und fügen Sie den API-Schlüssel hinzu, den Sie von einem Specops-Produktspezialisten erhalten haben:
1. Wählen Sie im Domain Administration Tool Breached Password Protection aus und klicken Sie auf Neuen Arbiter registrieren.
2. Wählen Sie den Namen Ihres Arbiter-Computers aus oder geben Sie ihn ein und klicken Sie auf OK. Der Arbiter-Computer wird nun der Tabelle hinzugefügt, die alle Specops Password Arbiters enthält.
  
  Hinweis
  
  Sie können auch nach Ihrem Arbiter-Computer suchen, indem Sie auf die Schaltfläche Erweitert klicken und dann Jetzt suchen.
3. Klicken Sie auf die Schaltfläche API-Schlüssel importieren und fügen Sie den API-Schlüssel, den Sie von Specops erhalten haben, in das erscheinende Textfeld ein. Klicken Sie auf OK. Ein grünes Häkchen sollte in der Spalte API-Schlüssel in der Tabelle erscheinen.
  
  Hinweis
  
  Fügen Sie nur den tatsächlichen API-Schlüssel in das Textfeld ein, ohne Kommentare, die möglicherweise vorhanden sind.
4. Klicken Sie auf Cloud-Verbindung testen, um die Verbindung zu testen.
  
  Hinweis
  
  Sie erhalten einen Fehler, der Sie auffordert, einen gültigen Lizenzschlüssel einzugeben, sobald die Installation abgeschlossen ist.

Um die Breached Password Protection-Validierung mit Breached Password Protection Complete für neue Passwörter (Passwortänderung/-zurücksetzung) zu aktivieren, müssen Sie Specops Password Policy GPOs für betroffene Benutzer konfigurieren.

Configuring Breached Password Protection Complete for Password Change

Öffnen Sie das Password Policy Domain Administration Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Passwortänderung.
Aktivieren Sie das Kontrollkästchen Überprüfung von Passwörtern über die Complete API aktivieren.
[Optional] Aktivieren Sie das Kontrollkästchen Benutzer zwingen, kompromittierte Passwörter zu ändern.

Hinweis

Dies wird das Konto des Benutzers markieren, um eine Passwortänderung bei der nächsten Anmeldung zu erfordern.

Hinweis

Wenn die Richtlinie des Benutzers auf "Passwort läuft nie ab" gesetzt ist und sein Passwort als kompromittiert erkannt wird, wird das Flag Passwort läuft nie ab gelöscht. Der Benutzer wird dann aufgefordert, sein Passwort bei der nächsten Anmeldung zu ändern.
[Optional] Aktivieren Sie das Kontrollkästchen Passwörter beim Zurücksetzen zusätzlich zur Änderung überprüfen.

Hinweis

Wenn diese Option deaktiviert ist, wird die Breached Password Protection Complete-Funktion nicht verwendet, wenn Passwörter zurückgesetzt werden, sondern nur, wenn sie geändert werden.

Hinweis

Wenn Ihre Benutzer Zugriff auf ein Self-Service-Passwort-Zurücksetzungssystem haben, sollte diese Option gesetzt werden.
[Optional] Aktivieren Sie die E-Mail- und/oder Textnachricht-Benachrichtigungsoptionen. Für weitere Informationen zu Benachrichtigungen besuchen Sie bitte die Benachrichtigungsseite.
Klicken Sie auf Übernehmen.
Klicken Sie auf OK.

Configuring Breached Password Protection Complete for Continuous Scanning

Hinweis

Um Continuous Scanning zu aktivieren, benötigen bestehende Kunden eine neue Lizenzdatei. Kontaktieren Sie licensing@specopssoft.com für weitere Informationen.

Öffnen Sie das Password Policy Domain Administration Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Kontinuierlich.
Wählen Sie im Dropdown-Menü Kontinuierlich auf kompromittierte Passwörter überprüfen die Option Verwendung der Online Complete API.
[Optional] Aktivieren Sie das Kontrollkästchen Benutzer zwingen, kompromittierte Passwörter zu ändern

Hinweis

Dies wird das Konto des Benutzers markieren, um eine Passwortänderung bei der nächsten Anmeldung zu erfordern.
[Optional] Aktivieren Sie die E-Mail- und/oder Textnachricht-Benachrichtigungsoptionen. Für weitere Informationen zu Benachrichtigungen besuchen Sie bitte die Benachrichtigungsseite.
Klicken Sie auf Übernehmen.
Klicken Sie auf OK.

Configuring Breached Password Protection Express (Express List)

Wenn Sie Administrator sind, können Sie eine Liste geleakter Passwörter herunterladen und in Ihrer lokalen Umgebung speichern. Jedes Mal, wenn ein Benutzer in Ihrer Organisation sein Passwort zurücksetzt oder ändert, wird sein neu gewähltes Passwort mit dieser Liste geleakter Passwörter abgeglichen. Wenn das vom Benutzer gewählte Passwort in der Liste der geleakten Passwörter enthalten ist, muss er ein anderes wählen.

Breached Password Protection Express unterscheidet sich von Breached Password Protection Complete in den folgenden Punkten:

Sofortige Passwortvalidierung: Da die Liste der geleakten Passwörter lokal gespeichert ist, kann Breached Password Protection Express sofort bestätigen, ob das neu gewählte Passwort eines Benutzers akzeptabel ist oder nicht. Benutzer erhalten eine sofortige Validierung, unabhängig davon, wo sie ihr Passwort ändern, selbst wenn sie beide Versionen von Breached Password Protection konfiguriert und aktiviert haben.
Benachrichtigungen: Sie müssen keine Breached Password Protection Textnachricht- und E-Mail-Benachrichtigungen für Breached Password Protection Express konfigurieren, da Passwörter sofort validiert werden.
Überprüfung geleakter Passwörter: Breached Password Protection Express kann die Passwörter aller Benutzer scannen, die von der Richtlinie betroffen sind. Die Passwörter werden mit der heruntergeladenen Breached Password Protection Express-Liste verglichen. Benutzer mit geleakten Passwörtern werden aufgefordert, ihr Passwort bei der nächsten Anmeldung zu ändern.
Updates: Die Liste der geleakten Passwörter muss manuell aktualisiert werden. Wenn eine neue Version der Liste veröffentlicht wurde, müssen Sie sie aus dem Password Policy Domain Administration Tool herunterladen.

Downloading the list of leaked passwords

Sie müssen die Liste der geleakten Passwörter in Ihre lokale Umgebung herunterladen, damit Ihre ausgewählten Gruppenrichtlinienobjekte auf die Liste der geleakten Passwörter verweisen können.

Hinweis

Sie müssen die Liste nur einmal herunterladen. Nach dem Herunterladen wird die Liste in SYSVOL gespeichert. Die Liste wird heruntergeladen und gilt auf Domänenebene.

Um die Breached Password Protection-Liste herunterzuladen, führen Sie die folgenden Schritte aus:

Starten Sie das Password Policy Domain Administration Tool.
Navigieren Sie zur Seite Breached Password Protection.
Klicken Sie auf die Registerkarte Breached Password Protection Express (Express List).
Wenn eine neue Version der Liste verfügbar ist, klicken Sie auf die Schaltfläche Neueste Version herunterladen.
Das Fenster Breached Password Protection herunterladen wird geöffnet. Während des Downloads werden die Dateien zuerst in ein temporäres Verzeichnis heruntergeladen. Standardmäßig wird das "temp"-Verzeichnis des aktuellen Benutzers verwendet, um die Dateien vorübergehend zu speichern, bevor sie automatisch an einen dauerhaften Speicherort in SYSVOL übertragen werden. Um ein anderes temporäres Verzeichnis auszuwählen, klicken Sie auf die Schaltfläche Durchsuchen.
Wenn der Download abgeschlossen ist, werden die Dateien an den folgenden Speicherort in SYSVOL: \\<yourdomain.com>\SYSVOL\<yourdomain>\Policies\SpecopsPassword\Dictionaries kopiert
Klicken Sie auf OK, und die Dateien werden heruntergeladen. Abhängig von der Größe des Pakets kann dies einige Zeit dauern.
Wenn der Download abgeschlossen ist, sehen Sie eine Nachricht, die bestätigt, dass die Liste erfolgreich heruntergeladen wurde und auf dem neuesten Stand ist. Diese Nachricht zeigt die Versionsnummer des heruntergeladenen Pakets, das Veröffentlichungsdatum der Version und die Größe des Pakets an.

Wenn der Download erfolgreich ist, besteht normalerweise keine Notwendigkeit, eine Validierung der heruntergeladenen Dateien durchzuführen. Wenn es jedoch innerhalb der Organisation wünschenswert ist, die Integrität der heruntergeladenen Dateien zu validieren, kann das Cmdlet Get-PasswordPolicyBppExpressList verwendet werden. Es wird eine Prüfsummenvalidierung aller Dateien in sysvol durchführen und sie mit der Metadatendatei vergleichen, die die erwarteten Prüfsummen des Downloads enthält. Weitere Informationen finden Sie auf der Powershell-Cmdlets-Seite.

Enabling Breached Password Protection Express

Sobald Sie die Breached Password Protection-Liste heruntergeladen haben, müssen Sie Breached Password Protection Express aktivieren, damit es auf die relevanten Gruppenrichtlinienobjekte angewendet wird.

Um dies zu tun, führen Sie die folgenden Schritte aus:

Öffnen Sie das Password Policy Domain Administration Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Passwortänderung.
Aktivieren Sie das Kontrollkästchen Passwörter aus der lokalen Express-Liste verhindern.

Hinweis

Benachrichtigungen sind für Breached Password Protection Express bei Passwortänderungen nicht verfügbar, da Benutzer sofortiges Feedback erhalten, wenn das Passwort, das sie ändern möchten, kompromittiert wurde.
Klicken Sie auf Anwenden.
Klicken Sie auf OK.

Konfigurieren von Breached Password Protection Express für kontinuierliches Scannen

Öffnen Sie das Password Policy Domain Administration Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Kontinuierlich.
Wählen Sie im Dropdown-Menü Kontinuierlich auf kompromittierte Passwörter prüfen die Option Verwendung der lokalen Express-Liste.
[Optional] Aktivieren Sie das Kontrollkästchen Benutzer zwingen, kompromittierte Passwörter zu ändern

Hinweis

Dadurch wird das Benutzerkonto so markiert, dass bei der nächsten Anmeldung eine Passwortänderung erforderlich ist.
[Optional] Aktivieren Sie die E-Mail-Benachrichtigungsoptionen. Für weitere Informationen zu Benachrichtigungen besuchen Sie bitte die Benachrichtigungsseite.

Hinweis

SMS-Benachrichtigungen sind für Breached Password Protection Express nicht verfügbar.
Klicken Sie auf Anwenden.
Klicken Sie auf OK.

Aktualisieren von Breached Password Protection Express

Die Liste der geleakten Passwörter wird in regelmäßigen Abständen aktualisiert. Das Update wird dann veröffentlicht, sodass es zum Download verfügbar ist.

Um zu überprüfen, ob eine neue Version zum Download verfügbar ist, führen Sie die folgenden Schritte aus:

Starten Sie das Password Policy Domain Admin Tool.
Navigieren Sie zum Abschnitt Breached Password Protection.
Klicken Sie auf die Registerkarte Breached Password Protection Express (Express-Liste).

Wenn eine neue Version der Liste verfügbar ist, sehen Sie eine Benachrichtigung mit dem Hinweis: „Es gibt eine aktualisierte Version der Liste der geleakten Passwörter, die zum Download bereitsteht“.

Sie sehen auch einen Vergleich zwischen der aktuellen Version, die Sie lokal gespeichert haben, und der veröffentlichten Online-Version.
Klicken Sie auf Neueste Version herunterladen und die Änderungen werden angewendet.

Konfigurieren von sowohl Breached Password Protection Complete als auch Breached Password Protection Express

Sie können Breached Password Protection Complete und Breached Password Protection Express gleichzeitig konfigurieren und aktivieren, indem Sie die Kontrollkästchen Breached Password Protection Complete aktivieren und Breached Password Protection Express aktivieren auswählen. Wenn Sie beide aktiviert haben und Ihre Benutzer ihr Passwort ändern, überprüft Breached Password Protection Express, ob das Passwort in der heruntergeladenen Liste der geleakten Passwörter enthalten ist. Wenn das Passwort in der Express-Liste gefunden wird, die in Ihrer lokalen Umgebung gespeichert ist, verhindert die Breached Password Protection Express-Regel, dass der Benutzer zu diesem Passwort wechselt. Wenn es nicht in der lokal gespeicherten Liste gefunden wird, wird das Passwort gegen die Liste in Breached Password Protection Complete überprüft. Wenn es in der Online-Liste gefunden wird, wird das Benutzerkonto mit einer „Passwort muss geändert werden“-Benachrichtigung markiert und der Benutzer muss zu einem anderen wechseln.

Häufig gestellte Fragen

Werden Passwörter extern mit Specops Breached Password Protection gesendet?

Nein. Der Sentinel Password Filter generiert einen bcrypt-Hash des neuen Benutzerpassworts. Weder das Passwort noch der bcrypt-Hash werden offengelegt. Die ersten paar Bytes des bcrypt-Hashes werden verwendet, um eine Reihe von übereinstimmenden Hashes abzufragen. Der Abgleich von Breached Password Protection erfolgt innerhalb des Netzwerks der Organisation.

Was sind die Vorteile mehrerer Arbiters? Wie wählt der DC (der die Passwortänderung bearbeitet) einen Arbiter aus?

Mehr als ein Arbiter bietet Redundanz, falls ein Arbiter vorübergehend ausfällt. Zusätzliche Arbiters beeinträchtigen die Leistung nicht. Die Anzahl der gleichzeitigen Passwortänderungen sollte bei einer Organisation mit vielen DCs keine Latenzprobleme verursachen.

Wenn es mehrere Arbiters gibt, verwendet der Breached Password Protection Service Round Robin während der Auswahl.

Wie behandelt die Breached Password Protection Cloud API Mobilnummern und E-Mail-Adressen beim Senden von SMS- und E-Mail-Benachrichtigungen an Benutzer?

Die Breached Password Protection Cloud API verwendet SendGrid für E-Mail-Benachrichtigungen und Twilio für SMS-Benachrichtigungen. E-Mail- und SMS-Benachrichtigungsanfragen vom Arbiter an die Breached Password Protection Cloud API werden mit TLS verschlüsselt. Die Kunden-ID und der Nachrichtenzeitstempel werden in Graylog gespeichert. Weder das Passwort noch der Hash werden in der Benutzerbenachrichtigung offengelegt.

Gibt es Vorteile bei der Verwendung von Breached Password Protection Complete in Verbindung mit Breached Password Protection Express?

Ja. Da Überprüfungen zu unterschiedlichen Zeiten durchgeführt werden, ist es vorteilhaft, beide auszuführen. Bitte beachten Sie auch den Abschnitt Breached Password Protection Checks erklärt auf dieser Seite.