Verwenden von PasswordIQ

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

So beheben Sie Passwortschwachstellen

PasswordIQ prüft die Passwörter der Nutzerinnen und Nutzer in Ihrem Active Directory auf 11 Passwortschwachstellen. Sobald Sie die Scanergebnisse erhalten, können Sie gemeinsam mit den Nutzerinnen und Nutzern die von PasswordIQ erkannten Passwortschwachstellen beheben. Im Artikel So verwenden Sie das PasswordIQ-Dashboard erfahren Sie, wie Sie die Scanergebnisse anzeigen.

In den nachfolgenden Abschnitten erfahren Sie, wie Sie Schwachstellen bei den Passwörtern Ihrer Nutzerinnen und Nutzer beheben. Allgemeine Informationen zu PasswordIQ finden Sie im PasswordIQ-Produkthandbuch.

Wichtig: Wir können hier keine allgemeinen Empfehlungen für Änderungen an der Gruppenrichtlinie und den Active Directory-Einstellungen geben, da Ihre Organisation möglicherweise über spezielle Sicherheitsanforderungen verfügt. In den nachfolgenden Abschnitten wird jedoch erklärt, wie Sie die Einstellungen finden, die für die Schwachstellen bei den Passwörtern Ihrer Nutzerinnen und Nutzer relevant sind.

Schwaches Passwort

Nachfolgend finden Sie Empfehlungen für den Fall, dass von PasswordIQ eine Passwortschwachstelle erkannt wird:

  1. Benachrichtigen Sie die Nutzerin bzw. den Nutzer, dass er/sie aktuell ein schwaches Passwort verwendet.
  2. Bitten Sie die Nutzerin bzw. den Nutzer, das Passwort zu ändern.
  3. Stellen Sie der Nutzerin bzw. dem Nutzer ein Training zum Erstellen starker Passwörter bereit. Im ModStore von KnowBe4 finden Sie Trainingsmodule, die Sie Ihren Nutzerinnen und Nutzern zuweisen können, darunter Erstellen starker Passwörter – Security Awareness Training, So erstellen Sie starke Passwörter – mit Quiz und Passwortsicherheit. Weitere Informationen zum verfügbaren Training Content im ModStore finden Sie im Leitfaden zu ModStore und Bibliothek.

Gemeinsam genutztes Passwort

Nachfolgend finden Sie Empfehlungen für den Fall, dass von PasswordIQ ein gemeinsam genutztes Passwort erkannt wird:

  1. Benachrichtigen Sie die Nutzerin bzw. den Nutzer, dass sein/ihr Passwort aktuell noch von jemand anderem verwendet wird.
  2. Bitten Sie die Nutzerin bzw. den Nutzer, das Passwort für alle Konten zu ändern, bei denen das gemeinsam genutzte Passwort verwendet wird.

Bieten Sie der Nutzerin bzw. dem Nutzer ein Training zum Erstellen eindeutiger Passwörter an. Im ModStore von KnowBe4 finden Sie Trainingsmodule, die Sie Ihren Nutzerinnen und Nutzern zuweisen können, darunter Erstellen starker Passwörter – Security Awareness Training, So erstellen Sie starke Passwörter – mit Quiz und Passwortsicherheit. Weitere Informationen zum verfügbaren Training Content im ModStore finden Sie im Leitfaden zu ModStore und Bibliothek.

Unverschlüsseltes Passwort

Wenn von PasswordIQ ein unverschlüsseltes Passwort (Klartext) für eine Nutzerin bzw. einen Nutzer oder eine Gruppe von Nutzerinnen und Nutzern erkannt wird, ist möglicherweise die umkehrbare Verschlüsselung für die entsprechenden Konten aktiviert. Wenn PasswordIQ diese Schwachstelle erkennt, werden die differenzierten Kennwortrichtlinien (Fine-Grained Password Policies, FGPP) ebenfalls ausgewertet. Sie können auch prüfen, ob für bestimmte Nutzerinnen und Nutzer eine differenzierte Kennwortrichtlinie in Bezug auf reversible Verschlüsselung gilt.

In der folgenden Tabelle wird dargelegt, wie die Schwachstelle „Unverschlüsseltes Passwort“ anhand einer Kombination aus individuellen Nutzereinstellungen, FGPP und Gruppenrichtlinienobjekten (Group Policy Objects, GPO) ermittelt wird. Die geltende Richtlinie wird in folgender Reihenfolge bewertet:

  • Wenn das Kennzeichen Kennwort mit umkehrbarer Verschlüsselung speichern auf Nutzerebene aktiviert ist, werden die anderen Richtlinien überschrieben. PasswordIQ erkennt die Schwachstelle „Unverschlüsseltes Passwort“.
  • Wenn FGPP angewendet werden und die Option Kennwort mit umkehrbarer Verschlüsselung speichern aktiviert ist, erhält diese Einstellung Vorrang vor den Domain-GPOs. PasswordIQ erkennt die Schwachstelle „Unverschlüsseltes Passwort“ unabhängig von den Einstellungen der Gruppenrichtliniendomain.
  • Wenn keine FGPP angewendet werden, gelten nur die Domain-GPO-Einstellungen. Wenn die Richtlinie Kennwort mit umkehrbarer Verschlüsselung speichern aktiviert ist, erkennt PasswordIQ die Schwachstelle „Unverschlüsseltes Passwort“.
  Nutzereinstellungen Differenzierte Kennwortrichtlinie (FGPP) Standardmäßige Domainrichtlinie (GPO) Geltende Richtlinie Erkennung der Schwachstelle „Unverschlüsseltes Passwort“
Nutzerin bzw. Nutzer hat das Kennzeichen Kennwort mit umkehrbarer Verschlüsselung speichern aktiviert Aktiviert Beliebige festgelegte FGPP Beliebiges festgelegtes GPO Nutzereinstellung wird angewendet Erkannt
Nutzerin bzw. Nutzer hat das Kennzeichen „Kennwort mit umkehrbarer Verschlüsselung speichern“ nicht aktiviert, aber es gelten FGPP Deaktiviert Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern ist aktiviert Beliebiges festgelegtes GPO FGPP gelten Erkannt
Nutzerin bzw. Nutzer hat die Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern nicht aktiviert und es sind nur Domain-GPO vorhanden Deaktiviert Keine FGPP Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern ist aktiviert Domain-GPO gelten Erkannt

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie Active Directory.
  2. Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
  3. Wählen Sie die Registerkarte Konto aus.
  4. Im Abschnitt Kontooptionen finden Sie die Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern. Stellen Sie sicher, dass diese Option nicht ausgewählt ist.
  5. Fordern Sie Ihre Nutzerinnen und Nutzer auf, ihre Passwörter zu ändern.

Wenn von PasswordIQ unverschlüsselte Passwörter (Klartext) für alle Nutzerinnen und Nutzer erkannt werden, ist die umkehrbare Verschlüsselung möglicherweise in der Gruppenrichtlinie aktiviert.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie den Gruppenrichtlinien-Editor.
  2. Navigieren Sie zu diesem Pfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie.
  3. Öffnen Sie die Richtlinie Kennwort mit umkehrbarer Verschlüsselung speichern. Stellen Sie sicher, dass diese Richtlinie deaktiviert ist.
  4. Erzwingen Sie ein Update für die auf Ihr Unternehmen angewendeten Gruppenrichtlinien.
  5. Fordern Sie Ihre Nutzerinnen und Nutzer auf, ihre Passwörter zu ändern.
Wichtig: Wenn die Gruppenrichtlinieneinstellungen deaktiviert sind, werden neue Passwörter standardmäßig mit Einwegverschlüsselung gespeichert. Vorhandene Passwörter werden mit umkehrbarer Verschlüsselung gespeichert, bis sie von den Nutzerinnen und Nutzern geändert werden.

Wenn von PasswordIQ ein unverschlüsseltes Passwort (Klartext) erkannt wird, ist möglicherweise das Kennzeichen STORE_CLEARTEXT für Ihre gesamte Organisation aktiviert.

Gehen Sie wie folgt vor, um zu ermitteln, ob dieses Kennzeichen aktiviert ist:

  1. Öffnen Sie über Ihren Domain Controller „Active Directory-Benutzer und -Computer (ADUC)“.
  2. Klicken Sie mit der rechten Maustaste auf den Domain Name und wählen Sie Eigenschaften aus.
  3. Wählen Sie auf der Registerkarte Attribut-Editor das Attribut pwdProperties aus. Wenn das Attribut das Kennzeichen STORE_CLEARTEXT enthält, lässt die Domain unverschlüsselte Passwörter (Klartext) zu. Sie können diese Einstellung über die Domain-Standardrichtlinie oder eine andere erzwungene Domain-Richtlinie deaktivieren.

Leeres Passwort

Wenn von PasswordIQ ein leeres Passwort erkannt wird, ist die Minimale Kennwortlänge in der Gruppenrichtlinie möglicherweise auf 0 festgelegt. Ist dies der Fall, muss ein Passwort keine Zeichen enthalten und darf leer sein.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie den Gruppenrichtlinien-Editor.
  2. Navigieren Sie zu diesem Pfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie.
  3. Öffnen Sie die Richtlinie Minimale Kennwortlänge.

Nur-DES-Verschlüsselung

Wenn von PasswordIQ eine Nur-DES-Verschlüsselung erkannt wird, ist möglicherweise die DES-Verschlüsselung für das Konto aktiviert.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie Active Directory.
  2. Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
  3. Wählen Sie die Registerkarte Konto aus.
  4. Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Kerberos-DES-Verschlüsselungstypen für dieses Konto verwenden.
Tipp:Sie können die AES-Verschlüsselung (Advanced Encryption Standard) als sichere Alternative zur DES-Verschlüsselung verwenden. Weitere Informationen finden Sie im nachfolgenden Abschnitt AES-Verschlüsselung nicht eingerichtet.

Kompromittiertes Passwort

Nachfolgend finden Sie Empfehlungen für den Fall, dass von PasswordIQ ein kompromittiertes Passwort erkannt wird:

  1. Benachrichtigen Sie die Nutzerin bzw. den Nutzer, dass sein/ihr aktuelles Passwort durch eine Datenschutzverletzung offengelegt wurde.
  2. Bitten Sie die Nutzerin bzw. den Nutzer, das Passwort für alle Konten zu ändern, bei denen es verwendet wird.
  3. Weisen Sie der Nutzerin bzw. dem Nutzer das aktuelle KnowBe4 Security Awareness Training zu, um ihn/sie auf mögliche Social-Engineering-Angriffe vorzubereiten. Cyberkriminelle nehmen eher jene Nutzerinnen und Nutzer ins Visier, die Opfer von Datenschutzverletzungen geworden sind.

Kein Passwort erforderlich

Wenn von PasswordIQ erkannt wird, dass kein Passwort erforderlich ist, ist möglicherweise das Kennzeichen PASSWD_NOTREQD im Attribut userAccountControl des Kontos festgelegt. Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie Active Directory.
  2. Aktivieren Sie Erweiterte Funktionen (Ansicht > Erweiterte Funktionen).
  3. Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
  4. Auf der Registerkarte Attribut-Editor finden Sie das Attribut userAccountControl.
Wichtig: Das Attribut userAccountControl enthält einen Dezimalwert für alle Warnsignale, die für Nutzer:innen aktiviert sind. Zum Entfernen des Warnsignals PASSWD_NOTREQD subtrahieren Sie den zugehörigen Dezimalwert von 32 vom Dezimalwert des Attributs userAccountControl.

Kennwort läuft nie ab

Wenn von PasswordIQ für eine Nutzerin bzw. einen Nutzer oder eine Gruppe von Nutzerinnen und Nutzern Passwörter erkannt werden, die niemals ablaufen, ist möglicherweise die Option Kennwort läuft nie ab für die entsprechenden Konten aktiviert.

In der folgenden Tabelle wird dargelegt, wie die Schwachstelle Kennwort läuft nie ab anhand einer Kombination aus individuellen Nutzereinstellungen, differenzierten Kennwortrichtlinien (FGPP) und Gruppenrichtlinienobjekten (GPO) ermittelt wird. Die geltende Richtlinie wird in folgender Reihenfolge bewertet:

  • Wenn das Kennzeichen Kennwort läuft nie ab auf Nutzerebene aktiviert ist, werden andere Richtlinien überschrieben und Passwörter müssen nicht regelmäßig geändert werden. PasswordIQ erkennt die Schwachstelle „Kennwort läuft nie ab“.
  • Wenn FGPP angewendet werden und die Option Maximales Kennwortalter durchsetzen aktiviert ist, erhält diese Einstellung Vorrang vor den allgemeinen Domain-GPOs. PasswordIQ erkennt die Schwachstelle „Kennwort läuft nie ab“ unabhängig von den Einstellungen der Gruppenrichtliniendomain.
  • Wenn keine FGPP angewendet werden, gelten die Domain-GPO-Einstellungen. Wenn die Richtlinie Maximales Kennwortalter auf 0 festgelegt ist, erkennt PasswordIQ die Schwachstelle „Kennwort läuft nie ab“.
  Nutzereinstellung Differenzierte Kennwortrichtlinie (PSO) Standardmäßige Domainrichtlinie (GPO) Geltende Richtlinie Erkennung der Schwachstelle „Kennwort läuft nie ab“
Nutzerin bzw. Nutzer hat die Einstellung Kennwort läuft nie ab nicht aktiviert Aktiviert Beliebige festgelegte FGPP Beliebiges festgelegtes GPO Nutzereinstellung wird angewendet Erkannt
Nutzerin bzw. Nutzer hat die Einstellung Kennwort läuft nie ab nicht aktiviert, aber es gelten FGPP Deaktiviert Einstellung Maximales Alter durchsetzen ist deaktiviert Beliebiges festgelegtes GPO FGPP gelten Erkannt
Nutzerin bzw. Nutzer hat die Einstellung Kennwort läuft nie ab nicht aktiviert, es sind nur Domain-GPO vorhanden Deaktiviert Keine FGPP Einstellung Maximales Alter durchsetzen ist auf 0 festgelegt Domain-GPO gelten Erkannt

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie Active Directory.
  2. Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
  3. Wählen Sie die Registerkarte Konto aus.
  4. Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Kennwort läuft nie ab.

Wenn von PasswordIQ für alle Nutzer:innen Passwörter erkannt werden, die niemals ablaufen, ist die Einstellung Maximales Kennwortalter in der Gruppenrichtlinie möglicherweise auf 0 festgelegt.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.
  2. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Sicherheitsoptionen.
  3. Öffnen Sie die Richtlinie Maximales Kennwortalter.
  4. Erzwingen Sie ein Update für die auf Ihr Unternehmen angewendeten Gruppenrichtlinien.

Sie können auch prüfen, ob für eine Nutzergruppe eine differenzierte Kennwortrichtlinie in Bezug auf das maximale Kennwortalter gilt.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie das Active Directory-Verwaltungscenter.
  2. Navigieren Sie zu „Domain“\System\Password Settings Container.
  3. Stellen Sie sicher, dass für die aufgeführten Kennwortrichtlinien die Option Erzwungenes maximales Kennwortalter deaktiviert ist.
Wichtig: Nur Windows-Kennwortrichtlinien werden von PIQ überprüft. Wenn Ihre Richtlinien durch Anwendungen von Drittanbietern definiert und verwaltet werden, können Sie diese Prüfung auf Schwachstellen im Abschnitt Optionale Schwachstellen der erweiterten Einstellungen deaktivieren.

LM-Hash-Passwort

Wenn von PasswordIQ ein LM-Hash-Passwort (LAN-Manager) erkannt wird, ist möglicherweise die Einstellung für den LM-Hash in der Gruppenrichtlinie aktiviert.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie den Gruppenrichtlinien-Editor.
  2. Navigieren Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
  3. Öffnen Sie die Richtlinie Netzwerksicherheit: Keine LAN Manager-Hashwerte für die nächste Kennwortänderung speichern.
  4. Erzwingen Sie ein Update für die auf Ihr Unternehmen angewendeten Gruppenrichtlinien.
  5. Fordern Sie Ihre Nutzerinnen und Nutzer auf, ihre Passwörter zu ändern.

AES-Verschlüsselung nicht eingerichtet

Wenn von PasswordIQ fehlende AES-Verschlüsselung (Advanced Encryption Standard) für eine Nutzerin bzw. einen Nutzer oder eine Gruppe von Nutzerinnen und Nutzern erkannt wird, muss die AES-Verschlüsselung für diese Konten aktiviert werden.

Hinweis: Die präzise Erkennung dieser Schwachstelle hängt vom Windows-Dienstkonto ab, das für PasswordIQ-Scans verwendet wird. Für Nutzerinnen und Nutzer ohne Domain-Administratorberechtigungen ist die Verifizierung von Gruppenrichtlinien begrenzt. Wenn Gruppenrichtlinien nicht verifiziert werden können, wird die Schwachstelle nicht erkannt.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie Active Directory.
  2. Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
  3. Wählen Sie die Registerkarte Konto aus.
  4. Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Dieses Konto unterstützt Kerberos-AES-128-Bit-Verschlüsselung bzw. Dieses Konto unterstützt Kerberos-AES-256-Bit-Verschlüsselung. Wählen Sie die verfügbare Option aus.

Wenn von PasswordIQ fehlende AES-Verschlüsselung für alle Nutzer:innen erkannt wird, müssen die AES-Verschlüsselungstypen möglicherweise in der Gruppenrichtlinie ausgewählt werden.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie den Gruppenrichtlinien-Editor.
  2. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
  3. Öffnen Sie die Richtlinie „Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren“. Die AES-Schlüssel sind AES128_HMAC_SHA1 und AES256_HMAC_SHA1.
Wichtig: Wenn die AES-Verschlüsselung in Ihrer Umgebung nicht unterstützt wird, können Sie diese Prüfung auf Schwachstellen im Abschnitt Optionale Schwachstellen der erweiterten Einstellungen deaktivieren.

Fehlende Vorab-Authentifizierung

Wenn von PasswordIQ eine fehlende Vorab-Authentifizierung erkannt wird, ist für das Konto möglicherweise die Einstellung Keine Kerberos-Präauthentifizierung erforderlich aktiviert.

Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:

  1. Öffnen Sie Active Directory.
  2. Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
  3. Wählen Sie die Registerkarte Konto aus.
  4. Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Keine Kerberos-Präauthentifizierung erforderlich.

War dieser Artikel hilfreich?

8 von 10 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren