Die Vergabe starker Passwörter sind in jedem Netzwerk von elementarer Wichtigkeit, um eine gewisse Sicherheit zu gewährleisten. Wichtige Voraussetzung für die Vergabe von Kennwörtern sind die Kennwortrichtlinien, die zentral für das Active Directory vergeben werden können.

Die Anwender haben sich dann nach diesen Vorgaben zu richten und Ihre Kennwörter müssen den vorgegebenen Richtlinien (Anzahl Zeichen, Klein-/Großbuchstaben, Sonderzeichen, usw.) entsprechen.

Die Firma Specops hat sich auf diese Passwortsicherheit spezialisiert und wir möchten Euch heute ein kostenloses Tool vorstellen, mit dem Ihr zum einen Eure erstellen Kennwortrichtlinien als auch die Userpasswörter überprüfen könnt. Ihr könnt Euch dafür den

Specops Password Auditor

downloaden und installieren. Dieses Tool ist ein Readonly-Tool und liest lediglich die Daten des Active Directorys aus und verarbeitet diese anschließend lokal. Es werden keinerlei Informationen zu Specops gesendet.

Gleich nach dem Start des Passwort-Checkers wird die Eingabe des Domainnamens und auch eines Domain-Controllers notwendig. Diese Daten liest das Tool ebenfalls vorher aus und schlagt in der Regel gleich die korrekten Daten vor.

Specops Password Auditor Start

Anschließend besteht die Möglichkeit, sogenannte Blacklist Passwortdateien herunterzuladen. Damit habt Ihr die Möglichkeit, die Kennwörter der AD-Anwender gegenüber 1 Milliarde kompromitierter Kennwörter gegen zu checken und somit festzustellen, ob Anwender ggf. aus Sicherheitsgründen lieber Ihr Password ändern sollten.

Wenn Ihr diese Blacklist Funktion nutzt, dann werden im nächsten Schritt über 250 Dateien mit einem Gesamtumfang von über 4,5GB Daten an unsicheren Kennwörtern heruntergeladen. Zusätzlich könnt Ihr noch einen Ordner angeben, in dem die Passwörter Blacklistdateien abgespeichert werden sollen.

Die nachfolgende Abbildung zeigt den Status des Blacklist-Downloads und des Scanvorgang des Active Directory an. Je nach Größe des Active Directory und dem evtl. Download der Blacklist Dateien kann dieser Vorgang durchaus einige Minuten dauern.

Specops Password Auditor Blacklist scanning

Nachdem der AD-Scan durchgeführt wurde, werden Euch die Ergebnisse des Sicherheitsscans angezeigt. Hier ist dann sichtbar, wie viele User evtl. ein bereits kompromittiertes Kennwort benutzen und welche Anwender die gleichen Windows Passwörter benutzen.

Auf der zweiten Seite wird dann noch näher auf „abgelaufene Kennwörter“ und auf die vorhandenen Kennwortrichtlinien vom abgefragten Active Directory eingegangen.

Specops Password Auditor Ergebnisse Teil 2

Somit habt Ihr mit diesem Tool die Möglichkeit, sehr schnell und einfach die verwendeten Kennwörter und Kennwortrichtlinien Eures Netzwerkes zu überprüfen und danach die entsprechenden Massnahmen zu ergreifen , um evtl. Password Sicherheitslücken zu beseitigen. Der Specopy Passwort Auditor kann jederzeit kostenlos aktualisiert werden und der Anbieter aktualisiert auch die Blacklist Dateien immer wieder.