Test zaměřený na slabá hesla (WPT)

Sdílet

Je tento článek užitečný?

Poslední aktualizace:

Návod k produktu Test zaměřený na slabá hesla (WPT)

Pokud se chcete dozvědět o Testu zaměřeném na slabá hesla (WPT), přečtěte si níže uvedené části nebo se podívejte na stručné video o Testu zaměřeném na slabá hesla (WPT).

Úvod do WPT

WPT je bezplatný nástroj, který prověřuje adresář AD (Active Directory) a hledá uživatelská hesla, která jsou snadno prolomitelná.

WPT se připojí k vaší službě AD a pomocí hashovaných hesel a šifrovacích algoritmů načte tabulku hesel. Poté hesla analyzuje z hlediska jejich deseti potenciálních zranitelností.

Ve výsledcích bude informovat o tom, které uživatelské účty testem neprošly a proč. Tyto informace vám mohou posloužit jako podklad ke zvýšení požadavků na složitost hesel ve vaší organizaci, ke školení uživatelů o bezpečných postupech při používání hesel nebo k přijetí jiných opatření na zlepšení bezpečnosti vaší organizace.

Systémové požadavky a předpoklady

Pokud chcete spustit WPT, váš systém musí splňovat následující požadavky:

  • Windows 10 nebo novější (32 nebo 64bitový), Windows Server 2016 nebo novější
  • Active Directory (AD) v systému Windows Server 2008 R2 nebo novějším
  • Možnost přístupu k řadiči domény (DC)
  • Přístup k internetu
  • .NET Framework 4.7.2 (v případě potřeby se nainstaluje)
  • Nejméně dva procesory
  • Nejméně 2 GB paměti RAM
  • Nejméně 1 GB volného místa na systémové jednotce pevného disku (HDD)
  • Povolené Řízení uživatelských účtů (UAC)

Tento test doporučujeme spustit v jiném systému, než je řadič domény, protože prověřování může dočasně vytvářet značný síťový provoz a zatížení procesoru (CPU).

K instalaci budete potřebovat následující informace:

  1. Licenční klíč, který jste obdrželi e-mailem při registraci k testu.
  2. Název domény vaší služby AD. Například MojeDomena.com nebo MojeDomena.local.
  3. Název vašeho DC.
  4. Přihlašovací údaje k připojení k vaší službě AD.
Důležité: K úspěšnému spuštění testu potřebujete přihlašovací údaje, které používáte k připojení ke službě AD, a WPT musí mít povolena oprávnění replikaci změn adresářereplikaci všech změn adresáře. Tato oprávnění umožňují získat kopii tabulky hesel k analýze.

Instalace a nastavení

Jakmile splníte systémové požadavky a předpoklady, můžete nainstalovat a nastavit WPT. Chcete-li začít, řiďte se následujícím postupem:

  1. Na stránce WPT se zaregistrujte ke stažení nástroje WPT a stáhněte si instalační soubor WPT.
  2. Na e-mail vám přijde jedinečný licenční klíč WPT, který bude třeba použít při nastavování.
  3. Spusťte instalační soubor WPT.
  4. Prostudujte si a přijměte licenční smlouvu. Poté kliknutím na Nainstalovat spusťte instalaci.
  5. Kliknutím na Dokončit spusťte WPT.
  6. Zadejte licenční klíč z kroku 1 a klikněte na OK.
  7. V části Podrobnosti o službě Active Directory Details zadejte požadované údaje o službě Active Directory (AD):
    • Název domény vaší služby AD
    • Název vašeho řadiče domény (DC)
  8. V části Přihlašovací údaje zadejte uživatelské jméno a heslo vámi vytvořeného účtu, který má povolena oprávnění k replikaci změn adresářereplikaci všech změn adresáře.
  9. Kliknutím na Spustit test zahajte test.
  10. Test prověří účty ve vaší službě AD, zda nepoužívají slabá hesla. V závislosti na velikosti služby AD a výkonu pracovní stanice to může trvat minutu nebo déle.
  11. Po dokončení testu se zobrazí výsledky. V následující části vám vysvětlíme jednotlivé zranitelnosti.

Vysvětlení výsledků

Ve výsledcích WPT bude uvedeno, kolik účtů je zranitelných a která zranitelnost se týkala jednotlivých účtů. Následující části vám pomohou zorientovat se ve výsledcích a pochopit typy nalezených zranitelností hesel.

Orientace ve výsledcích

Účty vaší služby Active Directory (AD) budou vypsány na samostatných řádcích. V každém řádku označuje jedno nebo více zaškrtnutí konkrétní zranitelnosti nalezené pro daný účet. Také můžete zadáním znaků do vyhledávacího pole vyhledat konkrétní účet.

Výsečový graf porovnává počet a typ nalezených zranitelností a lze jej použít k určení nejčastějších zranitelností hesel ve vaší organizaci.

Pokud chcete analyzovat konkrétní zranitelnost, můžete výsledky filtrovat podle typu selhání. Můžete to udělat tak že, v levé části okna kliknete na konkrétní typ selhání a v seznamu zůstanou pouze účty s daným typem selhání v testu.

Níže najdete dodatečné informace o uživatelském rozhraní WPT:

  1. Výsledky můžete kliknutím na postranní panel na levé straně stránky filtrovat podle typu selhání.
  2. Pomocí vyhledávacího panelu můžete hledat konkrétní účty AD.
  3. Zaškrtnutí v každém řádku udávají typ zranitelnosti hesla nalezený u příslušného účtu.
  4. Výsledky můžete exportovat do tabulky aplikace Excel nebo souboru PDF.
  5. Kliknutím na Znovu spustit test spustíte WPT znovu. Před kliknutím na toto tlačítko doporučujeme uložit aktuální výsledky.

Typy selhání

WPT analyzuje data a hledá deset různých typů selhání, kvůli kterým může být vaše organizace zranitelná vůči útokům, které jsou podrobně popsány níže.

  1. Slabé heslo: Toto selhání znamená, že heslo postiženého účtu odpovídalo jednomu z hesel uvedených v našem slovníku slabých hesel. Taková hesla jsou buď velmi běžná či snadno uhodnutelná, nebo byla poskytnuta útočníkům v důsledku dřívějších úniků dat.
  2. Sdílené heslo: Toto selhání znamená, že dotyčný účet sdílí heslo alespoň s jedním dalším účtem.
  3. Prázdné heslo: Toto selhání se týká účtů, které nemají nastavené heslo.
  4. Heslo v čitelném textu: Toto selhání se týká hesel, která jsou ve službě Active Directory (AD) uložena v čitelném textu. To znamená, že hesla uživatelů služby AD jsou uložena pomocí reverzibilního šifrování.
  5. Heslo není vyžadováno: Toto selhání se týká i účtů, které je možné používat bez hesla.
  6. Heslo nikdy nevyprší: Toto selhání znamená, že časový limit hesla účtu je nastavený na nulu. Toto nastavení způsobuje, že i když ve vlastnostech uživatele není zaškrtnuto pole Heslo nikdy nevyprší, příslušné heslo nikdy nevyprší. WPT kontroluje nastavení vypršení platnosti hesla v zásadách domény vaší organizace, v podrobných zásadách hesel a ve vlastnostech uživatelů.
  7. Heslo používající LM Hash: Toto selhání znamená, že dotčený účet používá hash správce místní sítě (LAN), což je zastaralá metoda. Taková hesla jsou zranitelná vůči útokům hrubou silou a lze je rychle prolomit.
  8. Šifrování AES není nastaveno: Toto selhání znamená, že účet k zašifrování hesla uživatele nepoužívá standard AES (Advanced Encryption Standard). AES šifruje hesla 128bitovým nebo 256bitovým klíčem. Hesla používající šifrování AES jsou méně zranitelná vůči útokům.
  9. Pouze šifrování DES: Toto selhání znamená, že postižené účty byly nastaveny pomocí vyřazeného mechanismu DES (Data Encryption Standard). Může to být důsledek používání starého softwaru, který neví, jak reagovat na šifrování AES.

  10. Chybějící předběžné ověřování: Toto selhání znamená, že dotčené účty mají vypnutý bezpečnostní mechanismus předběžného ověřování. Pokud je předběžné ověřování povoleno, vytváří šifrovaný požadavek na ověření, takže jsou pokusy o přihlášení k účtu zaznamenávány.

    Tento účet může být ohrožen útokem hrubou silou. Útoky hrubou silou mohou probíhat offline a je obtížné je odhalit.

Nastavení

Máte na výběr z různých nastavení, která vám umožní přizpůsobit si WPT. V následujících částech se dozvíte víc.

Volitelné zranitelnosti

Při prověřování pomocí WPT můžete povolit nebo zakázat dvě zranitelnosti hesel: Šifrování AES není nastavenoHeslo nikdy nevyprší. K těmto nastavením se dostanete kliknutím na ikonu ozubeného kola v pravém horním rohu okna.

Zahrnutí dalších hesel

WPT používá rozsáhlou knihovnu hesel ke stanovení, zda je heslo uživatele slabé. Pokud chcete do prověřování pomocí WPT zahrnout určitá hesla, můžete naimportovat textový soubor obsahující daná hesla. K tomuto nastavení se dostanete kliknutím na ikonu ozubeného kola v pravém horním rohu okna.

Před importem se ujistěte, že velikost textového souboru nepřekračuje 10 MB a že je na každém řádku daného souboru jen jedno heslo.

Jazyk

Jazyk WPT můžete změnit kliknutím na název jazyka v pravém dolním rohu okna.

Zabezpečení

Vaše služba Active Directory (AD) a informace o uživatelích jsou při používání WPT v bezpečí. Výsledky testu identifikují pouze uživatelské účty, které v testu neuspěly, a příslušné důvody, abyste mohli přijmout opatření.

Níže jsou uvedeny podrobnosti o tom, jak je během prověřování WPT nakládáno s vašimi údaji:

  • Žádné informace z vaší služby AD nebudou v žádném okamžiku testu předávány společnosti KnowBe4.
  • Data načítaná z vaší služby AD jsou šifrovaná.
  • WPT nevidí hesla žádného z vašich uživatelských účtů AD.
  • Hesla ve službě AD jsou v hashovaném formátu a tento formát nebude během testu viditelný.
  • Informace získané během testu se ukládají do místní paměti, nikoli na disk.

Byl tento článek užitečný?

Počet uživatelů, kteří toto označili za užitečné: 17 z 19

Nemůžete najít, co hledáte?

Kontaktovat podporu