لمعرفة معلومات عن Weak Password Test‏ (WPT) (اختبار كلمة المرور الضعيفة)، اقرأ الأقسام الواردة أدناه أو شاهد فيديو قصيرًا عن Weak Password Test.

التعريف بأداة WPT

WPT هي أداة مجانية تفحص دليل Active Directory ‏(AD) بحثًا عن كلمات مرور المستخدمين المُعرضة لهجمات تستهدف كلمات المرور.

تتصل أداة WPT بدليل AD لاستعادة جدول كلمات مرورك باستخدام كلمات مرور مشفرة بدالة Hash وخوارزميات التشفير. وبعد ذلك، تُحلّل الأداة كلمات المرور بحثًا عن عشر ثغرات محتملة لكلمات المرور.

ستُظهِر نتائجك حسابات المستخدمين التي لم تجتز الاختبار وأسباب ذلك. وقد تمكّنك هذه المعلومات من فرض متطلبات أكثر صرامة على إنشاء كلمات المرور في مؤسستك، أو تدريب المستخدمين لديك على ممارسات كلمات المرور الآمنة، أو اتخاذ إجراءات أخرى للمساعدة في الحفاظ على أمن مؤسستك.

المتطلبات والشروط الأساسية اللازم توفرها في النظام

لتشغيل أداة WPT، يجب أن يستوفي نظامك المتطلبات التالية:

• Windows 10 أو إصدار أحدث (32 أو 64 بت)، Windows Server 2016 أو إصدار أحدث
• Active Directory، يعمل على Windows Server 2008 R2 أو إصدار أحدث
• إمكانية الوصول إلى وحدة التحكم في النطاق (DC)
• وجود اتصال بالإنترنت
• ‎.NET Framework 4.7.2، سيتم تثبيته عند الحاجة
• وجود معالجين على الأقل
• ذاكرة وصول عشوائي (RAM) بحجم 2 غيغابايت على الأقل
• توفر مساحة قدرها 1 غيغابايت على الأقل على HDD (محرك القرص الصلب) في نظامك
• تفعيل ميزة التحكم في حسابات المستخدمين (UAC)

نوصيك بإجراء هذا الاختبار على نظام آخر غير وحدة التحكم في النطاق لديك، وذلك لأن عملية الفحص قد تؤدي إلى زيادة كبيرة في نسبة استخدام الشبكة ووحدة المعالجة المركزية (CPU).

لتثبيت الأداة، ستحتاج إلى المعلومات التالية:

1. مفتاح الترخيص الذي استلمته عبر البريد الإلكتروني عند التسجيل في الاختبار.
2. اسم نطاق دليل AD الخاص بك. على سبيل المثال، MyDomain.com أو MyDomain.local.
3. اسم وحدة التحكم في النطاق لديك.
4. بيانات الاعتماد للاتصال بدليل AD.

التثبيت والإعداد

بعد استيفاء المتطلبات والشروط الأساسية اللازم توفرها في النظام، يمكنك تثبيت أداة WPT وإعدادها. للبدء، اتبع الخطوات الواردة أدناه:

1. سجّل الدخول لتنزيل أداة WPT من صفحة WPT ونزّل ملف تثبيت أداة WPT.
2. تحقّق من بريدك الإلكتروني للحصول على مفتاح ترخيص WPT الفريد الخاص بك، الذي ستحتاج إلى استخدامه خلال عملية الإعداد.
3. شغّل ملف تثبيت أداة WPT.
4. اطّلع على اتفاقية الترخيص واقبلها. بعد ذلك، انقر على تثبيت لإكمال عملية التثبيت.
5. انقر على إنهاء لتشغيل أداة WPT.
6. أدخل مفتاح الترخيص الخاص بك الذي حصلت عليه في الخطوة 1 وانقر على موافق.
7. ضمن تفاصيل Active Directory، أدخل التفاصيل اللازمة من دليل Active Directory الخاص بك:
   • اسم نطاق دليل AD الخاص بك
   • اسم وحدة التحكم في النطاق لديك
8. ضمن بيانات الاعتماد، أدخل اسم المستخدم وكلمة مرور الحساب الذي أنشأته، والذي تم تفعيل الإذنين Replicating Directory Changes وReplicating Directory Changes All فيه.
9. انقر على بدء الاختبار لبدء اختبارك.
10. يُحلّل الاختبار حسابات دليل AD الخاصة بك بحثًا عن كلمات المرور الضعيفة. بناءً على حجم دليل AD الخاص بك وأداء منصة عملك، قد تستغرق هذه العملية دقيقة أو أكثر.
11. ستظهر نتائجك على الشاشة بمجرد اكتمال الاختبار. لفهم كل ثغرة، اقرأ القسم التالي.

فهم نتائجك

ستُشير نتائج أداة WPT إلى عدد الحسابات التي بها ثغرات والثغرة التي تؤثر في كل حساب. وستساعدك الأقسام الواردة أدناه على استعراض نتائجك وفهم أنواع ثغرات كلمات المرور المكتشفة.

استعراض نتائجك

ستظهر حسابات Active Directory الخاصة بك في صفوف منفردة. وفي كل صف، تظهر علامة اختيار واحدة أو أكثر للإشارة إلى الثغرات المحددة التي اكتشفتها الأداة في الحساب المحدد. ويمكنك أيضًا البحث عن حساب محدد بإدخال الحروف والرموز في صندوق البحث.

يقارن المخطط الدائري بين عدد الثغرات التي اكتشفتها الأداة ونوعها، ويمكن استخدامه لتحديد ثغرات كلمات المرور التي هي أكثر شيوعًا في مؤسستك.

يمكنك فرز النتائج حسب نوع الفشل إذا أردت تحليل ثغرة معينة. ولإجراء ذلك، انقر على نوع الفشل على الجانب الأيمن من النافذة، وستظهر لك الحسابات التي تحتوي على تلك الثغرة فقط.

ترد أدناه معلومات إضافية عن واجهة المستخدم في أداة WPT:

1. يمكنك فرز نتائجك حسب نوع الفشل بالنقر على الشريط الجانبي على الجانب الأيمن من الصفحة.
2. يمكنك البحث عن حسابات AD محددة في شريط البحث.
3. تُشير علامات الاختيار الموجودة في كل صف إلى نوع ثغرة كلمة المرور المكتشفة في كل حساب.
4. يمكنك تصدير نتائجك بتنسيق جدول بيانات Excel أو كملف PDF.
5. انقر على إعادة إجراء الاختبار لتشغيل أداة WPT مجددًا. نوصيك بحفظ نتائجك الحالية قبل النقر على هذا الزر.

أنواع الفشل

تُحلّل أداة WPT بياناتك بحثًا عن عشرة أنواع فشل مختلفة يمكن أن تجعل مؤسستك عرضة للهجمات، وهي مُفصّلة أدناه.

1. كلمة مرور ضعيفة: يُشير نوع الفشل هذا إلى أن كلمة مرور الحساب المتأثر طابقت كلمة مرور مدرجة في قاموس كلمات المرور الضعيفة لدينا. وتكون كلمات المرور الضعيفة هذه إما شائعة جدًا، أو أصبحت متاحة للمهاجمين نتيجة عمليات خرق بيانات سابقة.
2. كلمة مرور مشتركة: يُشير نوع الفشل هذا إلى أن كلمة مرور الحساب المتأثر مُستخدَمة في حساب واحد آخر على الأقل.
3. كلمة مرور فارغة: يشمل نوع الفشل هذا حسابات لم يتم إنشاء كلمات مرور لها.
4. كلمة مرور في صيغة نص واضح: يشمل نوع الفشل هذا كلمات المرور المُخزّنة في صيغة نص واضح في Active Directory. ويعني ذلك أن كلمات مرور المستخدمين في AD مُخزّنة باستخدام تشفير قابل للفك.
5. كلمة المرور غير مطلوبة: يشمل نوع الفشل هذا الحسابات التي لديها خاصية تُتيح الدخول إليها دون كلمة مرور.
6. صلاحية كلمة المرور لا تنتهي مطلقًا: يُشير نوع الفشل هذا إلى أن مدة انتهاء صلاحية كلمة مرور الحساب مضبوطة على الصفر. حيث لن تنتهي صلاحية كلمة مرور الحساب مطلقًا بسبب هذا الإعداد، حتى إذا تم إلغاء تحديد خيار عدم إنهاء صلاحية كلمة المرور مطلقًا في خصائص المستخدم. ستفحص أداة WPT إعدادات انتهاء صلاحية كلمات المرور في سياسات النطاقات وسياسات كلمات المرور المُفصّلة وخصائص المستخدم في مؤسستك.
7. كلمة مرور مشفرة بدالة Hash باستخدام خوارزمية نظام مدير الشبكة المحلية (LM): يُشير نوع الفشل هذا إلى أن الحساب المتأثر يستخدم طريقة التشفير بدالة Hash باستخدام خوارزمية نظام مدير الشبكة المحلية (LAN)، وهي طريقة قديمة. وتكون كلمات المرور من هذا النوع عرضة للهجمات الغاشمة ويمكن اختراقها بسهولة.
8. لم يتم إعداد تشفير AES: يُشير نوع الفشل هذا إلى أن الحساب لا يستخدم معيار التشفير المتقدم (AES) لتشفير كلمة مرور المستخدم. يُشفّر معيار AES كلمات المرور باستخدام مفتاح 128 بت أو 256 بت. وتكون كلمات المرور التي تستخدم تشفير AES أقل عرضة للهجمات.
9. تشفير باستخدام DES فقط: يُشير نوع الفشل هذا إلى أن الحسابات المتأثرة تم إعدادها باستخدام آلية معيار تشفير البيانات (DES) الذي لم يعد يُستخدم. وقد يكون السبب في ذلك هو وجود برامج قديمة لا تعرف كيفية التعامل مع معيار AES.

10. المصادقة المسبقة مفقودة: يُشير نوع الفشل هذا إلى أن آلية المصادقة المسبقة الأمنية مُعطّلة في الحسابات المتأثرة. وعند تفعيلها، تُنشئ المصادقة المسبقة طلب مصادقة مشفرًا بحيث تُسجّل محاولات المصادقة على الحساب.

    قد يتعرض هذا الحساب لهجمة غاشمة. ومن الوارد حدوث الهجمات الغاشمة دون الاتصال بالإنترنت، وتكون صعبة الاكتشاف.

الإعدادات

هناك إعدادات مختلفة يمكنك الاختيار من بينها تتيح لك تخصيص أداة WPT. اقرأ الأقسام الفرعية أدناه للحصول على مزيد من المعلومات.

الثغرات الاختيارية

يمكنك اختيار تفعيل البحث عن ثغرتين محددتين لكلمات المرور أو تجاهلهما في فحص أداة WPT: لم يتم إعداد تشفير AES أو صلاحية كلمة المرور لا تنتهي مطلقًا. للوصول إلى هذه الإعدادات، انقر على أيقونة الترس في الزاوية العلوية اليسرى من النافذة.

كلمات المرور المُخصّصة

تستخدم أداة WPT مكتبة كبيرة من كلمات المرور لتحديد كلمات مرور المستخدمين الضعيفة. إذا كانت هناك كلمات مرور محددة ترغب في تضمينها في فحص أداة WPT، يمكنك استيراد ملف نصي يشمل كلمات المرور هذه. للوصول إلى هذا الإعداد، انقر على أيقونة الترس في الزاوية العلوية اليسرى من النافذة.

قبل استيراد ملفك النصي، تأكد من أن حجم الملف أقل من 10 ميغابايت وأنك أدرجت كلمة مرور واحدة فقط في كل سطر من الملف.

اللغة

يمكنك تغيير لغة أداة WPT بالنقر على اسم اللغة في الزاوية السفلية اليسرى من النافذة.

الأمن

يظل Active Directory ومعلومات المستخدم الخاصة بك بأمان خلال استخدام أداة WPT. وتقتصر نتائج الاختبار على تحديد حسابات المستخدمين التي لم تجتز الاختبار وسبب فشلها حتى تتخذ الإجراء اللازم.

فيما يلي تفاصيل حول كيفية التعامل مع بياناتك أثناء اختبار WPT:

• لن تُنقل أي معلومات مدرجة في دليل AD إلى KnowBe4 في أي مرحلة من مراحل الاختبار.
• تكون المعلومات المستمدة من دليل AD مشفرة.
• لا تعرض أداة WPT كلمات مرور أي من حسابات المستخدمين الموجودة في دليل AD.
• كلمات المرور الموجودة في دليل AD تكون مشفرة بتنسيق دالة Hash، وهذا التنسيق لا يكون مرئيًا خلال الاختبار.
• تُحفظ المعلومات التي يتم الحصول عليها أثناء الاختبار في الذاكرة المحلية، وليس على القرص.