Specops Breached Password Protection

Specops Password Policy ist kompatibel mit Specops Breached Password Protection. Die Breached Password Protection-Liste ist eine Liste kompromittierter und geleakter Passwörter. Wenn Sie Administrator sind, können Sie verhindern, dass Benutzer Passwörter verwenden, die in dieser Liste enthalten sind. Es ist auch möglich, die Liste kontinuierlich zu überprüfen, sodass Benutzer gewarnt werden können, sobald kompromittierte Passwörter zur Liste hinzugefügt werden (Kontinuierlicher Scan).

Die Liste mit mehr als fünf Milliarden kompromittierten Passwörtern wird von Specops Software kuratiert und kombiniert Tausende von Quellen, darunter Passwörter, die in aktuellen realen Angriffen verwendet werden, sowie Passwörter, die in bekannten Listen kompromittierter Passwörter wie HaveIBeenPwned gefunden wurden. Dies kann Unternehmen dabei unterstützen, die Einhaltung von Branchenrichtlinien wie denen des NIST und des NCSC zu fördern.

Der Dienst wird täglich durch die Angriffsüberwachungs- und Datenerfassungssysteme unseres Forschungsteams aktualisiert, um Netzwerke vor aktuellen realen Passwortangriffen zu schützen.

Breached Password Protection Complete:

Enthält die Masterliste der geleakten Passwörter, die in der Cloud gespeichert ist, sodass sie immer auf dem neuesten Stand ist.

Hinweis

Dies ist kein Zero-Day-Schutz, da die geleakte Passwortliste in unserem anerkannten Format zur Datenbank hinzugefügt werden muss.
Wenn ein Benutzer sein Passwort in eines ändert, das in der geleakten Passwortliste enthalten ist, benachrichtigt Breached Password Protection Complete den Benutzer per E-Mail oder SMS. Ihr Konto wird ebenfalls markiert, was den Benutzer zwingt, sein Passwort beim nächsten Anmelden zu ändern.
Wenn der kontinuierliche Scan aktiviert ist, werden Benutzer über kompromittierte Passwörter informiert, sobald sie zur Liste hinzugefügt werden (wenn Benachrichtigungen konfiguriert sind), oder sie werden gezwungen, ihr Passwort beim nächsten Anmelden zu ändern.
Erfordert mehr Infrastruktur in Active Directory, einschließlich der Installation des Specops Password Arbiter und dem Herunterladen eines API-Schlüssels. Dies erfordert einen zusätzlichen Server, auf dem Sie den Specops Password Arbiter installieren, der mit der Breached Password Protection Cloud API kommunizieren wird.

Breached Password Protection Express:

Verwendet einen Teil der Liste der geleakten Passwörter, die normalerweise alle 3-4 Monate aktualisiert wird.
Die Liste wird in Active Directory heruntergeladen (wird die Replikation zwischen Domänencontrollern beeinflussen).
Administratoren müssen manuell überprüfen, ob es Updates für die Liste der geleakten Passwörter gibt, und dann die aktualisierte Liste herunterladen.
Verhindert sofort, dass ein Benutzer zu einem geleakten Passwort wechselt.
Überprüft kontinuierlich auf kompromittierte Passwörter.

Erklärungen zu den Überprüfungen der Breached Password Protection

Es gibt drei Hauptunterschiede zwischen Breached Password Protection Express und Breached Password Protection Complete:

Die Größe der Datenbank: Breached Password Protection Complete hat eine viel größere Menge an kompromittierten Passwörtern.
Der Inhalt der Datenbank: Breached Password Protection Complete wird kontinuierlich aktualisiert, während Breached Password Protection Express alle 3 oder 4 Monate aktualisiert wird.
Der Zeitpunkt, zu dem die Überprüfung durchgeführt wird:
- Breached Password Protection Express führt Überprüfungen bei Passwortänderungen sowie kontinuierliche (z. B. nächtliche) Überprüfungen durch.
- Breached Password Protection Complete führt seine Überprüfung unmittelbar nach der Passwortänderung durch.

Beispielablauf für Breached Password Protection Complete (Passwortänderung)

Das Folgende ist ein Beispiel dafür, wie die Breached Password Protection Complete-Überprüfung durchgeführt wird.

Der Benutzer ändert sein Passwort.
Wenn das neue Passwort allen anderen Passwort-Richtlinienregeln entspricht, wird das neue Passwort übermittelt (der Benutzer kann sein neues Passwort verwenden).
Das Passwort wird mit der Breached Password Protection Complete-Datenbank abgeglichen.
Wenn das Passwort als kompromittiert erkannt wird, wird das Konto des Benutzers markiert, und er muss sein Passwort beim nächsten Anmelden ändern.
Das Passwort wird erst bei der nächsten Passwortänderung mit der Breached Password Protection Complete-Datenbank abgeglichen.

Beispielablauf für Breached Password Protection Express

Das Folgende ist ein Beispiel dafür, wie die Breached Password Protection Express-Überprüfung durchgeführt wird.

Der Benutzer ändert sein Passwort.
Das neue Passwort wird bei der Passwortänderung mit der Breached Password Protection Express-Datenbank abgeglichen.
Wenn das Passwort als kompromittiert erkannt wird, darf der Benutzer die Änderung nicht übermitteln. Wenn nicht, wird das neue Passwort übermittelt.
Breached Password Protection Express überprüft das Passwort kontinuierlich (z. B. nächtlich) mit der Datenbank.
Wenn das Passwort bei nachfolgenden Überprüfungen als kompromittiert erkannt wird (vorausgesetzt, die Breached Password Protection Express-Datenbank wurde in der Zwischenzeit aktualisiert), wird das Konto des Benutzers markiert, und er muss sein Passwort beim nächsten Anmelden ändern.

Beispielablauf für Breached Password Protection (Kontinuierlicher Scan)

Das Folgende ist ein Beispiel dafür, wie die Breached Password Protection-Überprüfung für den kontinuierlichen Scan durchgeführt wird.

Ein kontinuierlicher Scan der Liste wird durchgeführt (entweder Breached Password Protection Express oder Breached Password Protection Complete).
Das Passwort des Benutzers wird als kompromittiert erkannt.
Der Benutzer wird per Textnachricht oder E-Mail benachrichtigt (wenn so konfiguriert) und/oder der Benutzer wird gezwungen, sein Passwort beim nächsten Anmelden zu ändern (wenn so konfiguriert).

Verwendung von Breached Password Protection Express zusammen mit Breached Password Protection Complete

Sie können Breached Password Protection Complete und Breached Password Protection Express gleichzeitig konfigurieren und aktivieren, indem Sie im Menü Passwortänderung die Kontrollkästchen Passwörter aus der lokalen Express-Liste verhindern und Überprüfung von Passwörtern über die Complete API aktivieren auswählen. Der Vorteil der Verwendung beider ist, dass Passwörter mit der größeren Complete-Datenbank abgeglichen werden, während gleichzeitig direktes Feedback bei der Passwortänderung gegeben wird, wenn das neue Passwort in der Express-Liste gefunden wird. Wenn Benutzer ihr Passwort ändern, überprüft Breached Password Protection Express, ob das Passwort in der heruntergeladenen Liste der geleakten Passwörter enthalten ist. Wenn das Passwort in der Express-Liste gespeichert in Ihrer lokalen Umgebung gefunden wird, verhindert die Breached Password Protection Express-Regel, dass der Benutzer zu diesem Passwort wechselt. Wenn es nicht in der lokal gespeicherten Liste gefunden wird, wird das Passwort bei der Übermittlung des neuen Passworts mit der Liste in Breached Password Protection Complete abgeglichen. Wenn es in der Complete-Liste gefunden wird, wird das Konto des Benutzers mit einer „Passwort muss geändert werden“-Benachrichtigung markiert, und er wird aufgefordert, sein Passwort beim nächsten Anmelden zu ändern.

Komponenten

Specops Password Policy mit Breached Password Protection besteht aus den folgenden Komponenten.

Specops Password Policy Sentinel

Das Specops Password Policy Sentinel ist ein Installationspaket, das auf allen beschreibbaren Domänencontrollern in einer Domäne installiert werden muss. Für Installationsanforderungen siehe Anforderungen.

Das Specops Sentinel besteht aus dem Sentinel Password Filter und dem Sentinel Service.

Sentinel Password Filter

Der Sentinel Password Filter ist ein Windows-Passwortfilter, der überprüft, ob ein neues Passwort den dem Benutzer zugewiesenen Specops Password Policy-Einstellungen entspricht.

Wenn die Validierung mit Specops Breached Password Protection konfiguriert ist, schreibt der Sentinel Password Filter für jedes neue Passwort (Passwortänderung/-zurücksetzung) eine Validierungsanfrage-Datei für die Breached Password Protection, wie in den Specops Password Policy GPO-Einstellungen konfiguriert.

Sentinel Service

Der Sentinel Service (Windows-Dienst) ist eine Komponente der Specops Password Policy. Der Sentinel Service wird immer als Teil des Specops Password Policy Sentinel installiert, ist jedoch nur wirksam, wenn die Validierung der Breached Password Protection konfiguriert ist.

Der Sentinel Service nimmt die Validierungsanfragen der Breached Password Protection aus dem Warteschlangenordner und übergibt sie an den Specops Password Arbiter, der bestimmt, ob das Passwort erlaubt ist oder kompromittiert wurde. Abhängig von den Specops Password Policy GPO-Einstellungen kann der Breached Password Protection Service durchsetzen, dass der Benutzer sein Passwort beim nächsten Anmelden ändern muss, wenn Passwörter kompromittiert sind.

Der Sentinel Service läuft als lokales System und darf standardmäßig das Benutzerkonto so einstellen, dass das Passwort beim nächsten Anmelden geändert werden muss.

Specops Password Arbiter

Der Specops Password Arbiter ist eine Komponente der Specops Password Policy und sollte auf einem Server mit Internetverbindung installiert werden. Für Installationsanforderungen siehe Anforderungen.

Ein einzelner Arbiter ist für die meisten Organisationen ausreichend. Wenn Ihre Organisation Redundanz benötigt, werden zusätzliche Arbiter empfohlen.

Der Specops Password Arbiter fungiert als Gateway zwischen dem Breached Password Protection Service und der Specops Breached Password Protection Cloud API, wo die Liste der geleakten Passwörter zu finden ist. Der Specops Password Arbiter verwendet einen API-Schlüssel, um mit der Breached Password Protection Cloud API zu kommunizieren.

Der Arbiter läuft als Netzwerkdienst und hat standardmäßig nur Lesezugriff auf Active Directory. Durch das Lesen der Specops Password Policy-Einstellungen kann der Arbiter die erforderlichen Maßnahmen bestimmen, wenn ein Passwort-Hash in der Breached Password Protection-Liste gefunden wird.

Um die Validierung der Breached Password Protection zu verwenden, muss mindestens ein Arbiter in der Domäne installiert sein. Organisationen, die Specops Password Policy ohne Validierung der Breached Password Protection verwenden, müssen den Arbiter nicht installieren.

Hinweis

Die Einstellungen von Breached Password Protection Express erfordern nicht die Specops Password Arbiter-Komponente.

Breached Password Protection Cloud API

Die Breached Password Protection Cloud API, die von Specops in der Cloud gehostet wird, ist eine Komponente der Specops Password Policy.

Die Breached Password Protection Cloud API hostet eine umfangreiche Liste von geleakten Passwörtern.

Hinweis

Die Einstellungen von Breached Password Protection Express erfordern nicht die Specops Password Arbiter-Komponente.

Konfiguration von Breached Password Protection Complete (Complete API)

Um Breached Password Protection Complete zu konfigurieren, müssen Sie Folgendes tun:

Installieren Sie Specops Password Policy Sentinel auf allen Domänencontrollern. Die gleiche Version muss auf allen Domänencontrollern installiert sein. Anweisungen.

Hinweis

Specops Password Policy-Kunden, die Version 6.8.18106.1 oder früher verwenden, benötigen einen neuen Lizenzschlüssel.
Installieren Sie einen (oder mehrere) Arbiter in der/den Domäne(n) Anweisungen.
Registrieren Sie den/die Arbiter im Specops Password Policy Domain Administration-Tool und fügen Sie den API-Schlüssel hinzu, den Sie von einem Specops-Produktspezialisten erhalten haben:
1. Wählen Sie im Domain Administration-Tool Breached Password Protection aus und klicken Sie auf Neuen Arbiter registrieren.
2. Wählen Sie den Namen Ihres Arbiter-Computers aus oder geben Sie ihn ein und klicken Sie auf OK. Der Arbiter-Computer wird nun der Tabelle hinzugefügt, die alle Specops Password Arbiter enthält.
  
  Hinweis
  
  Sie können auch nach Ihrem Arbiter-Computer suchen, indem Sie auf die Schaltfläche Erweitert klicken und dann Jetzt suchen.
3. Klicken Sie auf die Schaltfläche API-Schlüssel importieren und fügen Sie den API-Schlüssel, den Sie von Specops erhalten haben, in das angezeigte Textfeld ein. Klicken Sie auf OK. Ein grünes Häkchen sollte in der Spalte API-Schlüssel in der Tabelle erscheinen.
  
  Hinweis
  
  Fügen Sie nur den tatsächlichen API-Schlüssel in das Textfeld ein, ohne Kommentare, die möglicherweise vorhanden sind.
4. Klicken Sie auf Cloud-Verbindung testen, um die Verbindung zu testen.
  
  Hinweis
  
  Sie erhalten einen Fehler, der Sie auffordert, einen gültigen Lizenzschlüssel einzugeben, sobald die Installation abgeschlossen ist.

Um die Validierung der Breached Password Protection mit Breached Password Protection Complete für neue Passwörter (Passwortänderung/-zurücksetzung) zu aktivieren, müssen Sie Specops Password Policy GPOs für die betroffenen Benutzer konfigurieren.

Konfiguration von Breached Password Protection Complete für Passwortänderungen

Öffnen Sie das Password Policy Domain Administration-Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Passwortänderung.
Aktivieren Sie das Kontrollkästchen Überprüfung von Passwörtern über die Complete API aktivieren.
[Optional] Aktivieren Sie das Kontrollkästchen Benutzer zwingen, kompromittierte Passwörter zu ändern.

Hinweis

Dadurch wird das Konto des Benutzers markiert, sodass beim nächsten Anmelden eine Passwortänderung erforderlich ist.

Hinweis

Wenn die Richtlinie des Benutzers auf "Passwort läuft nie ab" gesetzt ist und sein Passwort als kompromittiert erkannt wird, wird das Passwort läuft nie ab-Flag gelöscht. Der Benutzer wird dann aufgefordert, sein Passwort beim nächsten Anmelden zu ändern.
[Optional] Aktivieren Sie das Kontrollkästchen Passwörter beim Zurücksetzen zusätzlich zur Änderung überprüfen.

Hinweis

Wenn diese Option deaktiviert ist, wird die Funktion Breached Password Protection Complete nicht verwendet, wenn Passwörter zurückgesetzt werden, sondern nur, wenn sie geändert werden.

Hinweis

Wenn Ihre Benutzer Zugriff auf ein Self-Service-Passwortzurücksetzungssystem haben, sollte diese Option gesetzt werden.
[Optional] Aktivieren Sie die E-Mail- und/oder Textnachricht-Benachrichtigungsoptionen. Für weitere Informationen zu Benachrichtigungen besuchen Sie bitte die Benachrichtigungsseite.
Klicken Sie auf Übernehmen.
Klicken Sie auf OK.

Konfiguration von Breached Password Protection Complete für kontinuierliches Scannen

Hinweis

Um das kontinuierliche Scannen zu aktivieren, benötigen bestehende Kunden eine neue Lizenzdatei. Kontaktieren Sie licensing@specopssoft.com für weitere Informationen.

Öffnen Sie das Password Policy Domain Administration-Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Kontinuierlich.
Wählen Sie im Dropdown-Menü Kontinuierlich auf kompromittierte Passwörter überprüfen die Option Verwendung der Online Complete API.
[Optional] Aktivieren Sie das Kontrollkästchen Benutzer zwingen, kompromittierte Passwörter zu ändern

Hinweis

Dadurch wird das Konto des Benutzers markiert, sodass beim nächsten Anmelden eine Passwortänderung erforderlich ist.
[Optional] Aktivieren Sie die E-Mail- und/oder Textnachricht-Benachrichtigungsoptionen. Für weitere Informationen zu Benachrichtigungen besuchen Sie bitte die Benachrichtigungsseite.
Klicken Sie auf Übernehmen.
Klicken Sie auf OK.

Konfiguration von Breached Password Protection Express (Express-Liste)

Wenn Sie Administrator sind, können Sie eine Liste geleakter Passwörter herunterladen und in Ihrer lokalen Umgebung speichern. Jedes Mal, wenn ein Benutzer in Ihrer Organisation sein Passwort zurücksetzt oder ändert, wird sein neu gewähltes Passwort mit dieser Liste der geleakten Passwörter abgeglichen. Wenn das gewählte Passwort des Benutzers in der Liste der geleakten Passwörter enthalten ist, muss er ein anderes wählen.

Breached Password Protection Express unterscheidet sich von Breached Password Protection Complete in den folgenden Punkten:

Sofortige Passwortvalidierung: Da die Liste der geleakten Passwörter lokal gespeichert ist, kann Breached Password Protection Express sofort bestätigen, ob das neu gewählte Passwort eines Benutzers akzeptabel ist oder nicht. Benutzer erhalten sofortige Validierung, unabhängig davon, wo sie ihr Passwort ändern, selbst wenn sie beide Versionen von Breached Password Protection konfiguriert und aktiviert haben.
Benachrichtigungen: Sie müssen keine Breached Password Protection Textnachricht- und E-Mail-Benachrichtigungen für Breached Password Protection Express konfigurieren, da Passwörter sofort validiert werden.
Scan nach geleakten Passwörtern: Breached Password Protection Express kann die Passwörter aller Benutzer scannen, die von der Richtlinie betroffen sind. Die Passwörter werden mit der heruntergeladenen Breached Password Protection Express-Liste verglichen. Benutzer mit geleakten Passwörtern werden aufgefordert, ihr Passwort beim nächsten Anmelden zu ändern.
Updates: Die Liste der geleakten Passwörter muss manuell aktualisiert werden. Wenn eine neue Version der Liste veröffentlicht wurde, müssen Sie sie aus dem Password Policy Domain Administration-Tool herunterladen.

Herunterladen der Liste der geleakten Passwörter

Sie müssen die Liste der geleakten Passwörter in Ihre lokale Umgebung herunterladen, damit Ihr ausgewähltes Gruppenrichtlinienobjekt auf die Liste der geleakten Passwörter verweisen kann.

Hinweis

Sie müssen die Liste nur einmal herunterladen. Nach dem Herunterladen wird die Liste in SYSVOL gespeichert. Die Liste wird heruntergeladen und gilt auf Domänenebene.

Um die Breached Password Protection-Liste herunterzuladen, führen Sie die folgenden Schritte aus:

Starten Sie das Password Policy Domain Administration-Tool.
Navigieren Sie zur Seite Breached Password Protection.
Klicken Sie auf die Registerkarte Breached Password Protection Express (Express-Liste).
Wenn eine neue Version der Liste verfügbar ist, klicken Sie auf die Schaltfläche Neueste Version herunterladen.
Das Fenster Breached Password Protection herunterladen wird geöffnet. Während des Downloads werden die Dateien zunächst in ein temporäres Verzeichnis heruntergeladen. Standardmäßig wird das „temp“-Verzeichnis des aktuellen Benutzers verwendet, um die Dateien vorübergehend zu speichern, bevor sie automatisch an einen permanenten Speicherort in SYSVOL übertragen werden. Um ein anderes temporäres Verzeichnis auszuwählen, klicken Sie auf die Schaltfläche Durchsuchen.
Wenn der Download abgeschlossen ist, werden die Dateien an folgendem Speicherort in SYSVOL: \\<yourdomain.com>\SYSVOL\<yourdomain>\Policies\SpecopsPassword\Dictionaries kopiert
Klicken Sie auf OK, und die Dateien werden heruntergeladen. Je nach Größe des Pakets kann dies einige Zeit in Anspruch nehmen.
Wenn der Download abgeschlossen ist, wird eine Nachricht angezeigt, die bestätigt, dass die Liste erfolgreich heruntergeladen wurde und auf dem neuesten Stand ist. Diese Nachricht zeigt die Versionsnummer des heruntergeladenen Pakets, das Veröffentlichungsdatum der Version und die Größe des Pakets an.

Wenn der Download erfolgreich ist, besteht normalerweise keine Notwendigkeit, eine Validierung der heruntergeladenen Dateien durchzuführen. Wenn es jedoch innerhalb der Organisation wünschenswert ist, die Integrität der heruntergeladenen Dateien zu validieren, kann das Cmdlet Get-PasswordPolicyBppExpressList verwendet werden. Es wird eine Prüfsummenvalidierung aller Dateien in sysvol durchführen und sie mit der Metadatendatei vergleichen, die die erwarteten Prüfsummen des Downloads enthält. Weitere Informationen finden Sie auf der PowerShell-Cmdlets-Seite.

Aktivierung von Breached Password Protection Express

Sobald Sie die Breached Password Protection-Liste heruntergeladen haben, müssen Sie Breached Password Protection Express aktivieren, damit es auf die relevanten Gruppenrichtlinienobjekte angewendet wird.

Um dies zu tun, führen Sie die folgenden Schritte aus:

Öffnen Sie das Password Policy Domain Administration-Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Passwortänderung.
Aktivieren Sie das Kontrollkästchen Passwörter aus der lokalen Express-Liste verhindern.

Hinweis

Benachrichtigungen sind bei Breached Password Protection Express bei Passwortänderungen nicht verfügbar, da Benutzer sofortiges Feedback erhalten, wenn das Passwort, das sie ändern möchten, kompromittiert wurde.
Klicken Sie auf Übernehmen.
Klicken Sie auf OK.

Konfiguration von Breached Password Protection Express für kontinuierliches Scannen

Öffnen Sie das Password Policy Domain Administration-Tool.
Wählen Sie das Menü Passwortrichtlinien.
Greifen Sie auf die Richtlinie für das GPO zu, das Sie ändern möchten (Bearbeiten)
Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Kontinuierlich.
Wählen Sie im Dropdown-Menü Kontinuierlich auf kompromittierte Passwörter überprüfen die Option Verwendung der lokalen Express-Liste.
[Optional] Aktivieren Sie das Kontrollkästchen Benutzer zwingen, kompromittierte Passwörter zu ändern

Hinweis

Dies wird das Benutzerkonto kennzeichnen, um eine Passwortänderung beim nächsten Login zu erfordern.
[Optional] Aktivieren Sie die E-Mail-Benachrichtigungsoptionen. Für weitere Informationen zu Benachrichtigungen besuchen Sie bitte die Benachrichtigungsseite.

Hinweis

SMS-Benachrichtigungen sind für Breached Password Protection Express nicht verfügbar.
Klicken Sie auf Übernehmen.
Klicken Sie auf OK.

Aktualisierung von Breached Password Protection Express

Die Liste der geleakten Passwörter wird in regelmäßigen Abständen aktualisiert. Das Update wird dann veröffentlicht, sodass es zum Download verfügbar ist.

Um zu überprüfen, ob eine neue Version zum Download verfügbar ist, gehen Sie wie folgt vor:

Starten Sie das Password Policy Domain Admin Tool.
Navigieren Sie zum Abschnitt Breached Password Protection.
Klicken Sie auf die Registerkarte Breached Password Protection Express (Express-Liste).

Wenn eine neue Version der Liste verfügbar ist, sehen Sie eine Benachrichtigung mit dem Hinweis: „Es gibt eine aktualisierte Version der Liste der geleakten Passwörter, die zum Download bereitsteht“.

Sie sehen auch einen Vergleich zwischen der aktuellen Version, die Sie lokal gespeichert haben, und der veröffentlichten Online-Version.
Klicken Sie auf Neueste Version herunterladen und die Änderungen werden übernommen.

Konfiguration von sowohl Breached Password Protection Complete als auch Breached Password Protection Express

Sie können Breached Password Protection Complete und Breached Password Protection Express gleichzeitig konfigurieren und aktivieren, indem Sie die Kontrollkästchen Breached Password Protection Complete aktivieren und Breached Password Protection Express aktivieren auswählen. Wenn Sie beide aktiviert haben und Ihre Benutzer ihr Passwort ändern, wird Breached Password Protection Express überprüfen, ob das Passwort in der heruntergeladenen Liste der geleakten Passwörter enthalten ist. Wenn das Passwort in der lokal gespeicherten Express-Liste gefunden wird, verhindert die Regel von Breached Password Protection Express, dass der Benutzer zu diesem Passwort wechselt. Wenn es nicht in der lokal gespeicherten Liste gefunden wird, wird das Passwort mit der Liste in Breached Password Protection Complete verglichen. Wenn es in der Online-Liste gefunden wird, wird das Benutzerkonto mit einer „Passwort muss geändert werden“-Benachrichtigung gekennzeichnet und der Benutzer muss ein anderes Passwort wählen.

Häufig gestellte Fragen

Werden Passwörter extern mit Specops Breached Password Protection gesendet?

Nein. Der Sentinel Password Filter generiert einen bcrypt-Hash des neuen Benutzerpassworts. Weder das Passwort noch der bcrypt-Hash werden offengelegt. Die ersten Bytes des bcrypt-Hashes werden verwendet, um eine Reihe von übereinstimmenden Hashes abzufragen. Der Abgleich von Breached Password Protection erfolgt innerhalb des Netzwerks der Organisation.

Welche Vorteile bieten mehrere Arbiters? Wie wählt der DC (der die Passwortänderung bearbeitet) einen Arbiter aus?

Mehr als ein Arbiter bietet Redundanz, falls ein Arbiter vorübergehend ausfällt. Zusätzliche Arbiters beeinträchtigen die Leistung nicht. Die Anzahl gleichzeitiger Passwortänderungen sollte bei einer Organisation mit vielen DCs keine Latenzprobleme verursachen.

Wenn es mehrere Arbiters gibt, verwendet der Breached Password Protection Service ein Round-Robin-Verfahren bei der Auswahl.

Wie behandelt die Breached Password Protection Cloud-API Mobilnummern und E-Mail-Adressen beim Senden von SMS- und E-Mail-Benachrichtigungen an Benutzer?

Die Breached Password Protection Cloud-API verwendet SendGrid für E-Mail-Benachrichtigungen und Twilio für SMS-Benachrichtigungen. Anfragen für E-Mail- und SMS-Benachrichtigungen vom Arbiter an die Breached Password Protection Cloud-API werden mit TLS verschlüsselt. Die Kunden-ID und der Nachrichtenzeitstempel werden in Graylog gespeichert. Weder das Passwort noch der Hash werden in der Benachrichtigung des Benutzers offengelegt.

Gibt es Vorteile bei der Verwendung von Breached Password Protection Complete in Verbindung mit Breached Password Protection Express?

Ja. Da Überprüfungen zu unterschiedlichen Zeiten durchgeführt werden, ist es vorteilhaft, beide auszuführen. Bitte sehen Sie sich auch den Abschnitt Erklärung der Breached Password Protection-Überprüfungen auf dieser Seite an.