Specops Breached Password Protection

Specops Password Policy (Version 7.0 und höher) ist kompatibel mit Specops Breached Password Protection. Die Liste von Breached Password Protection ist eine Liste der kompromittierten und geleakten Kennwörter. Als Administrator können Sie verhindern, dass Benutzer Kennwörter verwenden, die in dieser Liste enthalten sind. Ebenso ist es möglich, einen fortlaufende Prüfung anhand der Liste auszuführen, damit Benutzer benachrichtigt werden, wenn kompromittierte Kennwörter zur Liste hinzugefügt werden (Fortlaufender Scan)

Die Liste mit über zwei Milliarden kompromittierten Kennwörtern wird von Specops Software zusammengestellt und ist eine Kombination aus Tausenden verschiedener Quellen kompromittierter Kennwörter, einschließlich solcher, die aktuell in realen Angriffen verwendet werden oder auf bekannten Listen kompromittierter Kennwörter wie HaveIBeenPwned zu finden sind, wodurch die Einhaltung von Branchenvorschriften wie NIST oder NCSC erleichtert wird. Die Datenerfassungssysteme unseres Forschungsteams zur Überwachung von Angriffen aktualisieren den Dienst täglich und stellen sicher, dass Netzwerke vor realen Kennwortangriffen geschützt sind, die gerade jetzt stattfinden.

Breached Password Protection Complete:

  • Enthält die Hauptliste der geleakten Kennwörter, die in der Cloud gespeichert wird, so dass sie immer auf dem neuesten Stand ist.
    HINWEIS
    Dies ist kein Zero-Day-Schutz, da die Liste der geleakten Kennwörter zunächst in unserem anerkannten Format zur Datenbank hinzugefügt werden muss.
  • Wenn ein Benutzer sein Kennwort in eins ändert, das in der Liste der geleakten Kennwörter enthalten ist, benachrichtigt Breached Password Protection Complete den Benutzer per E-Mail oder SMS. Das Konto wird außerdem gekennzeichnet, so dass der Benutzer gezwungen wird ist, sein Kennwort bei der nächsten Anmeldung zu ändern.
  • Wenn Fortlaufender Scan aktiviert ist, werden Benutzer über kompromittierte Kennwörter benachrichtigt, sobald diese zur Liste hinzugefügt werden (sofern Benachrichtigungen konfiguriert sind), oder Benutzer werden gezwungen, ihre Kennwörter bei der nächsten Anmeldung zu ändern. [Funktionsvorschau]
  • Dies erfordert mehr Infrastruktur in Active Directory, beinhaltet die Installation des Specops Arbiter und das Herunterladen eines API-Schlüssels. Außerdem ist ein zusätzlicher Server nötig, auf dem Sie den Specops Arbiter installieren, der mit der Breached Password Protection Cloud-API kommuniziert. Bitte beachten Sie, dass Sie .Net 4.7.1 und Windows Server 2012 R2 oder höher verwenden müssen.

Breached Password Protection Express:

  • Verwendet eine Teilmenge der Liste der geleakten Kennwörter, die normalerweise alle 3 - 4 Monate aktualisiert wird.
  • Die Liste wird in Active Directory heruntergeladen (dies hat Auswirkungen auf die Replikation zwischen Domain-Controllern).
  • Administratoren müssen manuell prüfen, ob Aktualisierungen der die Liste der geleakten Kennwörter verfügbar sind, und dann die aktualisierte Liste herunterladen.
  • Verhindert sofort, dass ein Benutzer zu einem geleakten Kennwort wechselt.
  • Überprüft kontinuierlich auf kompromittierte Kennwörter.

Überprüfung auf verletzten Kennwortschutz erklärt


Es gibt drei wesentliche Unterschiede zwischen Breached Password Protection Express und Breached Password Protection Complete:

  • Die Größe der Datenbank: Breached Password Protection Complete enthält viel mehr kompromittierte Kennwörter.
  • Die Inhalte der Datenbank: Breached Password Protection Complete wird fortlaufend aktualisiert, während Breached Password Protection Express alle 3 oder 4 Monate aktualisiert wird.
  • Der Punkt, an dem die Prüfung erfolgt:
    • Breached Password Protection Express führt Überprüfungen bei jeder Kennwortänderung sowie kontinuierlich (z. B. jede Nacht) durch.
    • Breached Password Protection Complete führt die Prüfung sofort nach einer Kennwortänderung durch.

Breached Password Protection Complete-Ablaufbeispiel (Kennwortänderung)

Hier ein Beispiel für die Durchführung einer Breached Password Protection Complete-Prüfung.

  1. Der Benutzer ändert sein Kennwort.
  2. Falls das neue Kennwort alle Regeln der Kennwortrichtlinie erfüllt, wird das neue Kennwort eingereicht (der Benutzer kann sein neues Kennwort verwenden).
  3. Das Kennwort wird dann gegen die Breached Password Protection Complete-Datenbank geprüft.
  4. Wenn sich herausstellt, dass das Kennwort kompromittiert ist, wird das Konto des Benutzers markiert und er muss sein Kennwort bei der nächsten Anmeldung ändern.
  5. Das Kennwort wird bis zur nächsten Kennwortänderung nicht anhand der Breached Password Protection Complete-Datenbank geprüft.

Breached Password Protection Express-Ablaufbeispiel

Hier ein Beispiel für die Durchführung einer Breached Password Protection Express-Prüfung.

  1. Der Benutzer ändert sein Kennwort.
  2. Das neue Kennwort wird bei der Kennwortänderung mit der Breached Password Protection Express-Datenbank abgeglichen.
  3. Wenn sich herausstellt, dass das Kennwort kompromittiert ist, kann der Benutzer die Änderung nicht einreichen. Andernfalls wird das neue Kennwort übermittelt.
  4. Breached Password Protection Express prüft das Kennwort kontinuierlich (z. B. nachts) in der Datenbank.
  5. Wenn bei späteren Überprüfungen festgestellt wird, dass das Kennwort kompromittiert ist (sofern die Breached Password Protection Express-Datenbank in der Zwischenzeit aktualisiert wurde), wird das Konto des Benutzers markiert und muss er sein Kennwort bei der nächsten Anmeldung ändern.

Breached Password Protection-Ablaufbeispiel (Fortlaufender Scan)

Hier finden Sie ein Beispiel für die Durchführung einer Breached Password Protection-Prüfung für den fortlaufenden Scan.

  1. Ein fortlaufender Scan der Liste wird ausgeführt (entweder Breached Password Protection Express oder Breached Password Protection Complete).
  2. Das Kennwort des Benutzers wird als kompromittiert eingestuft.
  3. Der Benutzer wird per SMS oder E-Mail (falls konfiguriert) benachrichtigt und/oder dazu gezwungen, bei der nächsten Anmeldung sein Kennwort zu ändern (falls konfiguriert).

Gemeinsame Verwendung von Breached Password Protection Express und Breached Password Protection Complete

Sie können Breached Password Protection Complete und Breached Password Protection Express zeitgleich konfigurieren, indem Sie das Kontrollkästchen Kennwörter aus der lokalen Express-Liste verhindern und Prüfen von Kennwörter über die Complete-API aktivieren aktivieren. Der Vorteil in der Verwendung beider Optionen besteht darin, dass Kennwörter anhand der breiteren Complete-Datenbank geprüft werden und eine direkte Rückmeldung bei der Kennwortänderung erfolgt, wenn das neue Kennwort in der Express-Liste enthalten ist. Wenn Benutzer ihr Kennwort ändern, verifiziert Breached Password Protection Express, ob das Kennwort in der heruntergeladenen Liste der durchgesickerten Kennwörter enthalten ist. Wird das Kennwort in der in Ihrer lokalen Umgebung gespeicherten Express-Liste gefunden, verhindern die Regeln von Breached Password Protection Express, dass der Benutzer zu diesem Kennwort wechseln kann. Wenn es nicht in der lokal gespeicherten Liste gefunden wird, wird das Kennwort beim Einreichen mit der Liste in Breached Password Protection Complete abgeglichen. Wird es in der Complete-Liste gefunden, wird das Konto des Benutzers mit einer Benachrichtigung "Muss Kennwort ändern" gekennzeichnet, und der Benutzer muss bei der nächsten Anmeldung sein Kennwort ändern.

Anforderungen


KomponenteAnforderungen
Specops Password Policy Sentinel
  • Windows Server 2012 R2 oder höher
  • .Net Framework 4.7.1 oder höher
  • Domain-Controller mit Schreibzugang
Specops Arbiter
  • .NET 4.7.1 oder höher
  • Windows Server 2012 R2 oder höher
Breached Password Protection Express-UpdatesSpeicherplatz
Wörterbücher für Specops Password Breached Password Protection Express werden heruntergeladen und im Sysvol gespeichert, das auf jedem Domain-Controller repliziert wird.
  • 13 GB freier Speicherplatz in sysvol sind auf jedem Domain-Controller notwendig.
  • Vorübergehend: Weitere 13 GB auf dem Verwaltungsrechner, von dem die Wörterbücher heruntergeladen werden.

Komponenten


Specops Password Policy mit Breached Password Protection besteht aus folgenden Komponenten.

Specops Password Policy Sentinel

Der Specops Password Policy Sentinel ist ein Installationspaket, das auf allen beschreibbaren Domain-Controllern in einer Domain installiert werden muss.

Der Specops Sentinel besteht aus dem Sentinel-Kennwortfilter und dem Sentinel-Service.

Sentinel Kennwort-Filter

Der Sentinel-Kennwortfilter ist ein Windows-Kennwortfilter, der überprüft, ob ein neues Kennwort die dem Benutzer zugewiesenen Einstellungen der Specops-Kennwortrichtlinie erfüllt.

Wenn die Validierung mit Specops Breached Password Protection konfiguriert ist, schreibt der Sentinel Password Filter eine Breached Password Protection-Validierungsanforderungsdatei für jedes neue Kennwort (Kennwortänderung/-rücksetzung), wie in den Specops Password Policy GPO-Einstellungen konfiguriert.

Sentinel-Dienst

Der Sentinel-Dienst (ein Windows-Service) ist eine Komponente von Specops Password Policy. Der Sentinel-Dienst wird immer als Teil des Specops Password Policy Sentinel installiert, ist aber nur dann wirksam, wenn die Validierung des Schutzes vor geleakten Kennwörtern korrekt konfiguriert ist.

Der Sentinel-Dienst entnimmt dem Warteschlangenordner die Validierungsanfragen zum Schutz vor verletzten Kennwörtern und leitet sie an den Arbiter zum Schutz vor verletzten Kennwörtern weiter, der feststellt, ob das Kennwort zulässig oder kompromittiert ist. Abhängig von den Specops Password Policy GPO-Einstellungen kann der Breached Password Protection-Service erzwingen, dass der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.

Der Sentinel-Dienst wird als lokales System ausgeführt und ist standardmäßig in der Lage, ein Ändern des Kennworts durch den betroffenen Benutzer bei der nächsten Anmeldung zu verlangen.

Installationsanforderungen: .NET 3.5 SP1 oder höher

Breached Password Protection Arbiter

Der Breached Password Protection Arbiter ist eine Komponente von Specops Password Policy und sollte auf einem Server mit Internetverbindung installiert werden. Ein einziger Arbiter ist für die meisten Organisationen ausreichend. Wenn Ihr Unternehmen Redundanz benötigt, sind zusätzliche Arbiter zu empfehlen.

Der Breached Password Protection-Arbiter fungiert als Gateway zwischen dem Breached Password Protection-Service und der Specops Breached Password Protection Cloud-API, wo die Liste der geleakten Kennwörter zu finden ist. Der Breached Password Protection-Arbiter verwendet einen API-Schlüssel zur Kommunikation mit der Breached Password Protection Cloud-API.

Der Arbiter läuft als Netzwerkdienst und hat standardmäßig nur Lesezugriff auf Active Directory. Durch das Lesen der Specops-Kennwortrichtlinien-Einstellungen kann der Arbiter die erforderlichen Aktionen bestimmen, wenn ein Kennwort-Hash in der Liste der verletzten Kennwörter gefunden wird.

Um die Validierung von Breached Password Protection zu verwenden, muss mindestens ein Arbiter in der Domain installiert sein. Unternehmen, die Specops Password Policy ohne Breached Password Protection-Validierung verwenden, müssen den Arbiter nicht installieren.

Installationsanforderungen: .NET 4.7.1 oder höher

HINWEIS
Für die Einstellungen von Breached Password Protection Express ist die Komponente Password Breached Password Protection Arbiter nicht erforderlich.

Breached Password Protection Cloud-API

Die Cloud-API für Breached Password Protection, die von Specops in der Cloud gehostet wird, ist eine Komponente von Specops Password Policy.

Die Breached Password Protection Cloud-API beherbergt eine umfangreiche Liste geleakter Kennwörter.

HINWEIS
Für die Einstellungen von Breached Password Protection Express ist die Komponente Breached Password Protection Arbiter nicht erforderlich.

Breached Password Protection Complete (Complete-API) installieren


Um Breached Password Protection Complete zu konfigurieren, müssen Sie Folgendes tun:

  • Installieren Sie den Specops Password Policy Sentinel auf allen Domain-Controllern. Auf allen Domain-Controllern muss die gleiche Version installiert sein. [ Anweisungen Anweisungen]
    HINWEIS
    Specops Password Policy-Kunden, die die Version 6.8.18106.1 oder früher einsetzen, benötigen einen neuen Lizenzschlüssel.
  • Installieren Sie einen (oder mehrere) Arbiter in der/den Domain(s) [ Anweisungen Anweisungen]
  • Registrieren Sie den/die Arbiter im Specops Password Policy Domain-Verwaltungstool und fügen Sie den API-Schlüssel hinzu, den Sie von einem Specops-Produktspezialisten erhalten haben:
    1. Wählen Sie im Domain-Verwaltungstool Specops Breached Password Protection aus und klicken Sie auf Neuen Specops Arbiter registrieren.
    2. Wählen Sie den Namen Ihres Arbiter-Computers aus, oder geben Sie ihn ein, und klicken Sie auf OK. Der Arbiter-Computer wird nun in die Tabelle aller Specops Password-Arbiter aufgenommen.
      HINWEIS
      Sie können auch nach Ihrem Arbiter-Computer suchen, indem Sie auf die Schaltfläche Erweitert und dann auf Jetzt suchen klicken.
    3. Klicken Sie auf die Schaltfläche API-Schlüssel importieren und fügen Sie den von Specops erhaltenen API-Schlüssel in das sich öffnende Textfeld ein. Klicken Sie auf OK. In der Spalte API-Schlüssel der Tabelle sollte ein grünes Häkchen erscheinen.
      HINWEIS
      Fügen Sie nur den tatsächlichen API-Schlüssel in das Textfeld ein, lassen Sie eventuelle Kommentare weg.
    4. Klicken Sie auf Cloud-Verbindung testen, um die Verbindung zu prüfen.
    5. HINWEIS
      Sobald die Installation abgeschlossen ist, erhalten Sie eine Fehlermeldung, in der Sie aufgefordert werden, einen gültigen Lizenzschlüssel einzugeben.

Zur Aktivierung der Validierung des Schutzes vor verletzten Kennwörtern mit Breached Password Protection Complete für neue Kennwörter (Kennwortänderung/-rücksetzung) zu aktivieren, müssen Sie Specops Password Policy-GPOs für die betroffenen Benutzer konfigurieren.

Breached Password Protection Complete Für Kennwortänderung konfigurieren

  1. Öffnen Sie das Kennwortrichtlinien-Domain-Verwaltungstool.
  2. Gehen Sie in das Kennwortrichtlinien-Menü.
  3. Öffnen Sie die Richtlinie für das GPO, das sie ändern möchten (Bearbeiten)
  4. Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Kennwortänderung.
  5. Aktivieren Sie das Kontrollkästchen Prüfen von Kennwörter über die Complete-API aktivieren.
  6. [Optional] Aktivieren Sie das Kontrollkästchen Benutzer zum Ändern kompromittierter Kennwörter zwingen.
    HINWEIS
    Dadurch wird ein Benutzer bei der nächsten Anmeldung im Konto zum Ändern des Kenntworts gezwungen.
    HINWEIS
    Wenn die Benutzerrichtlinie auf "Kennwort läuft nie ab" eingestellt ist und das Kennwort als zu stark kompromittiert eingestuft wird, wird das Kennzeichen Kennwort läuft nie ab entfernt. Daraufhin wird der Benutzer dazu aufgefordert, sein Kennwort bei der nächsten Anmeldung zu ändern.
  7. [Optional] Aktivieren Sie das Kontrollkästchen Kennwörter nicht nur beim Ändern, sondern auch beim Zurücksetzen prüfen.
    HINWEIS
    Wenn diese Option deaktiviert ist, wird die Breached Password Protection Complete Funktion nicht verwendet, wenn Kennwörter zurückgesetzt werden, sondern lediglich, wenn sie geändert werden.
    HINWEIS
    Wenn Ihre Benutzer Zugriff auf ein Selbstbedienungssystem für das Zurücksetzen von Kennwörtern haben, sollte diese Option aktiviert werden.
  8. [Optional] Aktivieren Sie die Option zur Benachrichtigung per E-Mail und/oder SMS. Weitere Informationen zu Benachrichtigungen finden Sie auf der Seite Benachrichtigungen.
  9. Klicken Sie auf Anwenden.
  10. Klicken Sie auf OK.

Breached Password Protection Complete Für den fortlaufenden Scan konfigurieren

  1. Öffnen Sie das Kennwortrichtlinien-Domain-Verwaltungstool.
  2. Gehen Sie in das Kennwortrichtlinien-Menü.
  3. Öffnen Sie die Richtlinie für das GPO, das sie ändern möchten (Bearbeiten)
  4. Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Fortlaufend aus.
  5. Wählen Sie im Dropdown-Menü Fortlaufend auf kompromittierte Kennwörter prüfen Mithilfe der Online-Complete-API aus.
  6. [Optional] Aktivieren Sie das Kontrollkästchen Benutzer zum Ändern kompromittierter Kennwörter zwingen
    HINWEIS
    Die entsprechenden Benutzerkonten werden dann markiert und entsprechende Benutzer müssen bei der nächsten Anmeldung ihr Kennwort ändern.
  7. [Optional] Aktivieren Sie die Option zur Benachrichtigung per E-Mail und/oder SMS. Weitere Informationen zu Benachrichtigungen finden Sie auf der Seite Benachrichtigungen.
  8. Klicken Sie auf Anwenden.
  9. Klicken Sie auf OK.

Breached Password Protection Express (Express-Liste) konfigurieren


Als Administrator können Sie eine Liste der geleakten Kennwörter herunterladen und in Ihrer lokalen Umgebung speichern. Wenn ein Benutzer in Ihrem Unternehmen sein Kennwort zurücksetzt oder ändert, wird das neu gewählte Kennwort mit dieser Liste geleakter Kennwörter abgeglichen. Wenn das vom Benutzer gewählte Kennwort in dieser Liste enthalten ist, muss er ein anderes wählen.

Breached Password Protection Express unterscheidet sich von Breached Password Protection Complete in folgenden Punkten:

  • Sofortige Kennwortüberprüfung: Da die Liste der geleakten Kennwörter lokal gespeichert wird, kann Breached Password Protection Express sofort bestätigen, ob das neu gewählte Kennwort eines Benutzers akzeptabel ist oder nicht. Die Benutzer erhalten dann eine sofortige Bestätigung, unabhängig davon, wo sie ihr Kennwort ändern, auch wenn sie beide Versionen von Breached Password Protection konfiguriert und aktiviert haben.
  • Benachrichtigungen: Sie müssen für Breached Password Protection Express keine SMS- und E-Mail-Benachrichtigungen konfigurieren, da die Kennwörter sofort überprüft werden.
  • Geleakte Kennwörter scannen: Breached Password Protection Express kann die Kennwörter aller Benutzer scannen, die von der Richtlinie betroffen sind. Die Kennwörter werden anhand der heruntergeladenen Breached Password Protection Express-Liste geprüft. Benutzer mit geleakten Kennwörtern werden bei der nächsten Anmeldung aufgefordert, ihr Kennwort zu ändern.
  • Aktualisierungen: Die Liste der geleakten Kennwörter muss manuell aktualisiert werden. Wenn eine neue Version der Liste veröffentlicht wurde, müssen Sie sie mit dem Password Policy- Domain-Verwaltungstool herunterladen.

Herunterladen der Liste der geleakten Kennwörter

Herunterladen der Liste der geleakten Kennwörter

Sie müssen die Liste der geleakten Kennwörter in Ihre lokale Umgebung herunterladen, damit Ihre ausgewählten Gruppenrichtlinienobjekte diese Liste nutzen können.

HINWEIS
Sie müssen die Liste nur einmal herunterladen. Nach dem Herunterladen wird die Liste in SYSVOL gespeichert. Nach dem Herunterladen gilt diese Liste für die gesamte Domain.

Führen Sie die folgenden Schritte aus, um die Liste der geleakten Kennwörter herunterzuladen:

  1. Starten Sie das Tool zur Verwaltung der Kennwortrichtlinien-Domäne.
  2. Navigieren Sie zur Seite Schutz vor verletzten Kennwörtern.
  3. Klicken Sie auf die Registerkarte Breached Password Protection Express (Express-Liste).
  4. Wenn eine neue Version der Liste verfügbar ist, klicken Sie auf die Schaltfläche Neueste Version herunterladen.
  5. Das Fenster Download Breached Password Protection wird geöffnet. Während des Downloads werden die Dateien zunächst in ein temporäres Verzeichnis heruntergeladen. Standardmäßig wird das "temp"-Verzeichnis des aktuellen Benutzers verwendet, um die Dateien vorübergehend zu speichern, bevor sie automatisch an einen permanenten Speicherort in SYSVOL übertragen werden. Zur Auswahl eines anderen temporären Verzeichnisses klicken Sie auf die Schaltfläche Durchsuchen.
  6. Wenn der Download abgeschlossen ist, werden die Dateien an folgenden Speicherort in SYSVOL kopiert: \\<yourdomain.com>\SYSVOL\<yourdomain>\Policies\SpecopsPassword\Dictionaries
  7. Klicken Sie auf OK, und der Download der Dateien beginnt. Je nach Größe des Pakets kann dies einige Zeit in Anspruch nehmen.
  8. Wenn der Download abgeschlossen ist, bestätigt eine Meldung, dass die Liste erfolgreich heruntergeladen wurde und auf dem neuesten Stand ist. Diese Meldung zeigt die Versionsnummer des heruntergeladenen Pakets, das Datum der Veröffentlichung der Version und die Größe des Pakets an.

Breached Password Protection Express aktivieren

Nachdem Sie die Breached Password Protection-Liste heruntergeladen haben, müssen Sie Breached Password Protection Express aktivieren, damit das Produkt auf die entsprechenden Gruppenrichtlinienobjekte angewendet wird.

Führen Sie dazu die folgenden Schritte aus:

  1. Öffnen Sie das Kennwortrichtlinien-Domain-Verwaltungstool.
  2. Gehen Sie in das Menü Kennwortrichtlinien.
  3. Öffnen Sie die Richtlinie für das GPO, das sie ändern möchten (Bearbeiten)
  4. Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Kennwortänderung.
  5. Prüfen Sie die Liste Kennwörter aus der lokalen Express-Liste verhindern.
  6. HINWEIS
    Benachrichtigungen sind bei der Kennwortänderung nicht für Breached Password Protection Express verfügbar, da Benutzer eine sofortige Rückmeldung erhalten, wenn das Kennwort, das sie ausprobieren, kompromittiert ist.
  7. Klicken Sie auf Anwenden.
  8. Klicken Sie auf OK.

Breached Password Protection Express Für den fortlaufenden Scan konfigurieren

  1. Öffnen Sie das Kennwortrichtlinien-Domain-Verwaltungstool.
  2. Gehen Sie in das Kennwortrichtlinien-Menü.
  3. Öffnen Sie die Richtlinie für das GPO, das sie ändern möchten (Bearbeiten)
  4. Klicken Sie auf die Registerkarte Breached Password Protection und wählen Sie dann das Menü Fortlaufend aus.
  5. Wählen Sie im Dropdown-Menü Fortlaufend auf kompromittierte Kennwörter prüfen Mithilfe der lokalen Express-Liste aus.
  6. [Optional] Aktivieren Sie das Kontrollkästchen Benutzer zum Ändern kompromittierter Kennwörter zwingen
    HINWEIS
    Die entsprechenden Benutzerkonten werden dann markiert und entsprechende Benutzer müssen bei der nächsten Anmeldung ihr Kennwort ändern.
  7. [Optional] Aktivieren Die die E-Mail-Benachrichtigungsoptionen. Weitere Informationen zu Benachrichtigungen finden Sie auf der Seite Benachrichtigungen.
    HINWEIS
    SMS-Benachrichtigungen sind nicht verfügbar für Breached Password Protection Express.
  8. Klicken Sie auf Anwenden.
  9. Klicken Sie auf OK.

Aktualisierung von Breached Password Protection Express

Die Liste der geleakten Kennwörter wird in regelmäßigen Abständen aktualisiert. Die neuen Listen werden dann veröffentlicht, so dass sie heruntergeladen werden können.

Gehen Sie folgendermaßen vor, um zu prüfen, ob eine neue Version zum Herunterladen verfügbar ist:

  1. Starten Sie das Password Policy-Domain-Verwaltungstool.
  2. Navigieren Sie zum Abschnitt Schutz vor verletzten Kennwörtern.
  3. Klicken Sie auf die Registerkarte Breached Password Protection Express (Express-Liste).

    Wenn eine neue Version der Liste verfügbar ist, erhalten Sie eine entsprechende Meldung: "Es steht eine aktualisierte Version der Liste der durchgesickerten Kennwörter zum Download bereit.

    Außerdem sehen Sie einen Vergleich zwischen der aktuellen Version, die Sie lokal gespeichert haben, und der neuen Online-Version.

  4. Klicken Sie auf Neueste Version herunterladen. Die Änderungen werden übernommen.

Breached Password Protection Complete und Breached Password Protection Express konfigurieren

Sie können Breached Password Protection Complete und Breached Password Protection Express gleichzeitig konfigurieren und aktivieren, indem Sie die Kontrollkästchen Breached Password Protection Complete aktivieren und Breached Password Protection Express aktivieren markieren. Wenn Sie beide aktiviert haben und Ihre Benutzer ihr Kennwort ändern, prüft Breached Password Protection Express, ob das Kennwort in der heruntergeladenen Liste der durchgesickerten Kennwörter enthalten ist. Wird das Kennwort in der in Ihrer lokalen Umgebung gespeicherten Express-Liste gefunden, verhindern die Regeln von Breached Password Protection Express, dass der Benutzer zu diesem Kennwort wechseln kann. Wenn es nicht in der lokal gespeicherten Liste gefunden wird, wird das Kennwort mit der Liste von Breached Password Protection Complete abgeglichen. Wird es in der Online-Liste gefunden, wird das Konto des Benutzers mit einer Benachrichtigung "Muss Kennwort ändern" gekennzeichnet, und wird der Benutzer aufgefordert, ein neues Kennwort zu wählen.

Häufig gestellte Fragen


Werden Kennwörter von Specops Breached Password Protection nach außen gesendet?

Nein. Der Sentinel-Kennwortfilter generiert einen bcrypt-Hash des neuen Kennworts des Benutzers. Doch weder das Kennwort selbst noch der bcrypt-Hash werden offengelegt. Die ersten wenigen Bytes des bcrypt-Hashes werden verwendet, um eine Reihe von übereinstimmenden Hashes abzufragen. Der Abgleich für den Schutz vor verletzten Kennwörtern findet auf dem Domain-Controller im Netzwerk der Organisation statt.

Was bringt es, über mehrere Arbiter zu verfügen? Wie wählt der DC (der die Kennwortänderung vornimmt) einen Arbiter aus?

Mehr als ein Arbiter sorgt für Redundanz, falls einer einmal ausfallen sollte. Zusätzliche Arbiter beeinträchtigen nicht die Systemleistung. Die Anzahl gleichzeitiger Kennwortänderungen sollte in einem Unternehmen mit vielen DCs keine Latenzprobleme verursachen.

Wenn mehrere Arbiter eingesetzt werden, wählt der Dienst zum Schutz vor geleakten Kennwörtern eine verteilte Handhabung nach dem Rotationsprinzip.

Wie handhabt behandelt die Breached Password Protection Cloud-API Mobiltelefonnummern und E-Mail-Adressen beim Senden von SMS- und E-Mail-Benachrichtigungen an Benutzer?

Die Breached Password Protection Cloud-API verwendet SendGrid für E-Mail- und Twilio für SMS-Benachrichtigungen. Die E-Mail- und SMS-Benachrichtigungsanfragen vom Arbiter an die Breached Password Protection Cloud-API werden mit TLS verschlüsselt. Die Kunden-ID und der Zeitstempel der Nachrichten werden in Graylog gespeichert. Weder das Kennwort selbst noch sein Hash werden in der Benutzerbenachrichtigung angezeigt.

Hat es Vorteile, Breached Password Protection Complete zusammen mit Breached Password Protection Express zu verwenden?

Ja. Da die Kontrollen zu unterschiedlichen Zeitpunkten stattfinden, ist es von Vorteil, beide durchzuführen. Bitte lesen Sie dazu auch den Abschnitt Prüfung auf verletzten Kennwortschutz erklärt auf dieser Seite.