Werbung – Wie kann ich Active Directory-Passwörter überprüfen und mit einem Passwort-Management die Authentifizierung durch Blockieren schwacher Passwörter schützen oder Kennwortregeln durchsetzen sowie die Benutzer AD-Kennwörter selbst zurücksetzen lassen? Specops Software ist ein führender Anbieter von Passwortmanagement- und Authentifizierungslösungen, der eine Reihe an Tools zur Auditierung und zum Management von Kennwörtern in Active Directory-Umgebungen anbietet.
Vorab eine Anmerkung: Bei diesem Beitrag handelt es sich zwar um einen sponsored Post. Als der Anbieter aber an mich herangetreten ist, habe ich mir einen Überblick über dessen Produktportfolio verschafft. Die bereitgestellten Tools schienen mir für die Leserschaft des Blogs von Interesse, so dass ich den Anbieter samt einigen Tools in diesem Beitrag vorstellen möchte.
Wer ist Specops Software?
Specops Software ist ein 2001 gegründetes schwedisches Unternehmen, welches seinen Hauptsitz in Stockholm, Schweden, hat. Niederlassungen gibt es in den USA, Kanada, Großbritannien und Deutschland. Der Anbieter verfügt über ein komplettes Portfolio von Lösungen, die nativ in Microsoft Active Directory integriert sind. Mit seinen Passwort Management- und Authentifizierungslösungen schützt Specops Software Geschäftsdaten von Firmen, indem es schwache Passwörter in einer Microsoft Active Directory blockiert und die Benutzerauthentifizierung sichert.
Das Produktportfolio
Der Anbieter Specops Software verfügt über ein ganzes Produktportfolio an Tools zum Passwort-Auditing und -Management in Microsoft Active Directory-Umgebungen, welches von Freeware bis hin zu kostenpflichtigen Produkten reicht.
Password-Auditor als Freeware
Häufig sind Sicherheitsverletzungen auf Grund von kompromittierten Passwörtern in der Unternehmens-IT auf schwache oder in Hacks erbeutete (durchgesickerte) Kennwörter für Benutzerkonten zurückzuführen. Mit dem als Freeware von Specops Software erhältlichen Password-Auditor können Administratoren von Microsoft Active Directory-Umgebungen im Hinblick auf die Passwort-Sicherheit scannen lassen.
Das Passwort-Audit-Tool scannt und prüft die Passwörter der AD-Benutzerkonten anhand einer Liste gefährdeter Passwörter, die aus mehreren Datenlecks stammen. Administratoren können die Passwortrichtlinien analysieren lassen, um Passwortschwachstellen in Konten zu identifizieren. Dies umfasst auch abgelaufener Passwörter, identischer Passwörter, leerer Passwörter und mehr. Außerdem bietet das Tool einen vollständigen Überblick über die Administratorkonten in der Domäne eines Unternehmens, einschließlich veralteter/inaktiver Administratorkonten.
(Quelle: YouTube)
Ein vom Tool erstellter Bericht ermöglicht die Schwachstellen in der Passwort-Sicherheit zu identifizieren. Zusätzlich zu diesen Erkenntnissen können Administratoren mit dem Specops Password Auditor die Wirksamkeit ihrer Richtlinien gegen einen Brute-Force-Angriff messen. Obiges Video stellt die Funktionen (in Englisch) vor, während dieses Video den Scan einer AD-Umgebung mit Auswertung demonstriert.
AD-Kennwörter mit Specops uReset zurücksetzen
Wenn ein Benutzer sich selbst aus seinem Konto ausgesperrt hat, kann er mittels des Tools Specops uReset sein Konto nach erfolgreicher Authentifizierung selbst freischalten und das Passwort zurücksetzen. Ein Kontakt der Remote-Mitarbeiter mit dem Helpdesk ist in diesem Fall nicht erforderlich. Der Vorgang lässt sich per Browser, Smartphone oder Windows-Anmeldebildschirm durchführen. Dabei besteht die Möglichkeit, Benutzer auch über Benachrichtigungen durch den Anmeldeprozess führen.
Specops ermöglicht Administratoren Benutzer automatisch für das System zum Zurücksetzen von Passwörtern zu registrieren, ohne dass die Benutzer dazu etwas tun müssen. Dies kann mit jedem Identitätsanbieter erreicht werden, der über Identifizierungsinformationen in Active Directory verfügt (z. B.: Mobile Code, Duo Security, Symantec VIP, Okta Verify, PingID, und andere). Das Tool bietet zudem verschiedene Berichte, die Administratoren helfen, den Fortschritt der Registrierung zu verfolgen.
Secure Service Desk
Für den Helpdesk stellt das sichere Zurücksetzen von Passwörtern für AD-Konten auf Grund von Benutzeranfragen eine besondere Herausforderung dar. Die Benutzerüberprüfung am Helpdesk stützt sich häufig auf statische Daten im Active Directory. Sicherheitsfragen wie „Wie lautet Ihre Mitarbeiter-ID?“ sind üblich, können aber von Cyberkriminellen über Social-Engineering-Angriffe leicht ausfindig gemacht werden.
Mit Secure Service Desk können Mitarbeiter des Helpdesk die Konten von Benutzern mit vorhandenen Daten des Active Directory, die über die wissensbasierte Authentifizierung hinausgehen, verifizieren. So lässt sich beispielsweise ein einmaliger Code an die mit dem Benutzerkonto verknüpfte Mobilfunknummer senden. Es lassen sich sogar vorhandene Authentifizierungsdienste wie Duo Security, Okta Verify, PingID und Symantec VIP nutzen, um Anrufer zu verifizieren.
Mit Secure Service Desk können die Benutzerauthentifizierung am Helpdesk erzwungen und nachverfolgt werden, um sicherzustellen, dass Informationen und Kennwortrücksetzungen nicht an Benutzer weitergegeben werden, die dazu nicht berechtigt sind. Dies ist besonders wichtig für hochsichere Konten und zur Einhaltung von Vorschriften.
Specops Password Policy
Über das Tool Specops Password Policy wird Administratoren ein Werkzeug an die Hand gegeben, um Passwortrichtlinien auch durchzusetzen. So lässt sich an Hand eines Passwort-Wörterbuchs mit häufig verwendeten und/oder gefährdeten Passwörtern verhindern, dass Benutzer Passwörter verwenden, die für Brute-Force-Angriffe (Wörterbuchangriffe) anfällig sind.
Bei einer Kennwortänderung in Active Directory weist die Kennwortprüfung alle im Wörterbuch gefundenen Kennwörter zurück. Administratoren können ein benutzerdefiniertes Wörterbuch mit potenziellen Passwörtern, einschließlich Firmenname, Standort, Dienste und relevante Akronyme, die für ein Unternehmen relevant sind, erstellen. So wird verhindert, dass solche Begriffe in Kennwörtern verwendet werden.
Mit dem Add-on „Breached Password Protection“ können Administratoren sogar die Verwendung von mehr als 2 Milliarden kompromittierten Kennwörtern blockieren. Das umfasst auch Kennwörter, die in Kennwortlisten bekannter Sicherheitsverletzungen zu finden sind, sowie der Kennwörter, die bei aktuellen Angriffen verwendet werden.
Specops Key Recovery
Das Specops Key Recovery-Tool unterstützt die IT-Abteilung darin, Anrufe beim Service Desk wegen Verschlüsselungssperren zu minimieren. Das Tool ist eine Self-Service-Lösung für Unternehmen zur Entsperrung von Geräten, die mit BitLocker und Symantec Endpoint Encryption verschlüsselt sind.
Ein Benutzer, der beim Pre-Boot-Authentifizierungsbildschirm ausgesperrt wird, kann Specops Key Recovery verwenden, um seinen Computer zu entsperren, ohne den IT-Service-Desk anzurufen. Für zusätzliche Sicherheit werden die Benutzer mit einer Multi-Faktor-Authentifizierung verifiziert, bevor sie einen Wiederherstellungsschlüssel erhalten. Die Lösung unterstützt eine Reihe von Authentifizierungsfaktoren, darunter Duo Security, Okta Verify und Mobile Code.