בדיקת סיסמה חלשה (WPT)

שיתוף

האם המאמר הזה מועיל?

עודכן לאחרונה:

בדיקת סיסמה חלשה (WPT) – מדריך המוצר

על מנת לקבל מידע נוסף לגבי בדיקת סיסמה חלשה (WPT), קראו את הקטעים הבאים או צפו בסרטון הקצר בדיקת סיסמה חלשה (WPT).

מבוא ל-WPT

WPT הוא כלי חינמי שבוחן את ה-Active Directory‏ (AD) שלכם כדי לזהות סיסמאות משתמשים שעלולות להיות פגיעות להתקפות שקשורות לסיסמאות.

WPT מתחבר ל-AD שלכם על מנת לשלוף את טבלת הסיסמאות בעזרת סיסמאות מגובבות (Hash) ואלגוריתמים להצפנה. לאחר מכן, הכלי מנתח את הסיסמאות ובודק אותן כנגד עשר פגיעויות סיסמה פוטנציאליות.

בתוצאות הבדיקה תוכלו לראות אילו חשבונות משתמש נכשלו במבחן ולמה. המידע יכול לעזור לכם להגדיל את הדרישות לגבי מורכבות של סיסמאות בארגון, להדריך את המשתמשים שלכם לגבי התנהלות בטיחותית בנוגע לסיסמאות או לנקוט בפעולות אחרות כדי לחזק את האבטחה בארגון.

דרישות מוקדמות ודרישות מערכת

על מנת להריץ WPT המערכת שלכם צריכה לעמוד בדרישות הבאות:

  • Windows 10 או גרסה מאוחרת יותר (32 או 64 סיביות), שרת Windows 2016 או גרסה מאוחרת יותר
  • Active Directory‏ (AD), שפועל על שרת Windows 2008 R2 או גרסה מאוחרת יותר
  • יכולת לגשת לבקר התחום (DC)
  • גישה לאינטרנט
  • ‎.NET Framework 4.7.2, ניתן להתקין במקרה הצורך
  • לפחות שני מעבדים
  • לפחות 2GB של זכרון RAM
  • לפחות 1GB של שטח כונן קשיח (HDD) פנוי בכונן המערכת שלכם
  • בקרת חשבון משתמש (UAC) מופעלת

אנחנו ממליצים להריץ את הבדיקה על מערכת שאינה ה-DC שלכם, מכיוון שתהליך הסריקה עלול ליצור, באופן זמני, תעבורת רשת גבוהה ושימוש גדול ביחידת העיבוד המרכזית (CPU).

על מנת להתקין את ה-WPT, תצטרכו את המידע הבא:

  1. מפתח הרישיון שקיבלתם בדוא"ל כשנרשמתם לבדיקה.
  2. שם התחום של ה-AD שלכם. לדוגמה MyDomain.com‎ או MyDomain.local‎.
  3. השם של ה-DC שלכם.
  4. פרטי ההתחברות ל-AD שלכם.
חשוב:על מנת שהבדיקה תתבצע כמו שצריך, ההרשאות Replicating Directory Changes ו-Replicating Directory Changes All צריכות להיות מופעלות בפרטי ההתחברות שבהם אתם משתמשים על מנת לחבר את ה-AD שלכם ל-WPT. ההרשאות האלו מאפשרות לכם להשיג עותק של טבלת הסיסמאות לצורך הניתוח.

התקנה והגדרה

לאחר שאתם עומדים בדרישות המוקדמות ובדרישות המערכת, אתם יכולים להתקין ולהגדיר את WPT. כדי להתחיל, פעלו בהתאם להוראות הבאות:

  1. בצעו הרשמה להורדת כלי ה-WPT בדף ה-WPT שלנו, והורידו את קובץ ההתקנה של WPT.
  2. בדקו את הדוא"ל שלכם כדי למצוא את מפתח רישיון ה-WPT הייחודי שלכם. תצטרכו להשתמש בו בתהליך ההגדרה.
  3. הריצו את קובץ ההתקנה של WPT.
  4. עיינו בהסכם הרישיון והסכימו לו. לאחר מכן, לחצו על Install (התקנה) כדי להשלים את תהליך ההתקנה.
  5. לחצו על Finish (סיום) על מנת להפעיל את WPT.
  6. הזינו את מפתח הרישיון משלב מספר 1 ולחצו על OK (אישור).
  7. במקטע Active Directory Details (פרטי Active Directory), הזינו את הפרטים הדרושים מה-Active Directory‏ (AD) שלכם:
    • שם התחום של ה-AD שלכם
    • השם של בקר התחום (DC) שלכם
  8. במקטע Credentials (פרטי התחברות), הזינו את שם המשתמש והסיסמה של החשבון שיצרתם שבו ההרשאות Replicating Directory Changes ו-Replicating Directory Changes All מופעלות.
  9. לחצו על Start Test (התחלת הבדיקה) כדי להתחיל את הבדיקה.
  10. הבדיקה תנתח את חשבונות ה-AD על מנת לזהות סיסמאות חלשות. בהתאם לגודל ה-AD ולביצועי עמדת העבודה שלכם, התהליך עשוי להימשך דקה או יותר.
  11. התוצאות יופיעו במסך ברגע שהבדיקה מסתיימת. קראו את הקטע הבא על מנת להבין את סוגי הפגיעות השונים.

הבנת התוצאות שלכם

תוצאות ה-WPT יציגו את מספר החשבונות שנמצאו בהם פגיעויות, ואיזו פגיעות הייתה בכל אחד מהם. הקטע הבא יעזור לכם לנווט בתוצאות שלכם ולהבין את סוגי הפגיעויות שנמצאו.

ניווט בתוצאות

חשבונות ה-Active Directory‏ (AD) יוצגו בשורות נפרדות. בכל שורה, סימן ביקורת אחד או יותר יציינו את הפגיעויות הספציפיות שנמצאו באותו חשבון. אפשר גם להזין תווים בתיבת החיפוש כדי לחפש חשבון מסוים.

תרשים עוגה משווה את מספר וסוגי הפגיעויות שנמצאו, וניתן להשתמש בו כדי להבין מהן פגיעויות הסיסמה הכי נפוצות בארגון.

ניתן לסנן את התוצאות לפי סוג כשל אם רוצים לנתח פגיעות ספציפית. על מנת לעשות זאת, לחצו על סוג הכשל שבצד שמאל של החלון, ורק החשבונות עם סוג הכשל הזה יופיעו ברשימה.

בהמשך תמצאו מידע נוסף לגבי ממשק המשתמש של WPT:

  1. ניתן לסנן את התוצאות לפי סוג כשל על ידי לחיצה על סרגל הצד שמופיע בצד שמאל של הדף.
  2. ניתן לחפש חשבונות AD ספציפיים בסרגל החיפוש.
  3. סימני הביקורת בכל שורה מציינים את סוג פגיעות הסיסמה שנמצא בכל חשבון.
  4. ניתן לייצא את התוצאות כגיליון אלקטרוני של Excel או כקובץ PDF.
  5. לחצו על Rerun Test (בדיקה חוזרת) כדי להריץ שוב את ה-WPT. אנחנו ממליצים לשמור את התוצאות הנוכחיות לפני שלוחצים על הלחצן הזה.

סוגי כשלים

WPT מנתח את הנתונים שלכם על מנת לזהות עשרה סוגי כשלים שונים שעלולים לחשוף את הארגון שלכם להתקפה. הפירוט של סוגי הכשלים מופיע בהמשך.

  1. Weak Password (סיסמה חלשה): הכשל הזה מעיד על כך שהסיסמה של החשבון תואמת לאחת הסיסמאות שרשומות במילון הסיסמאות החלשות שלנו. ייתכן שהסיסמאות נפוצות מאוד, קלות לניחוש או שהן נחשפו לתוקפים עקב פריצות לנתונים שהתרחשו.
  2. Shared Password (סיסמה זהה): הכשל הזה מעיד על כך שהסיסמה של החשבון המדובר זהה לסיסמה של לפחות חשבון אחד אחר.
  3. Empty Password (סיסמה ריקה): הכשל הזה כולל חשבונות שאין להם סיסמה מוגדרת.
  4. Clear Text Password (סיסמה בטקסט גלוי): הכשל הזה כולל סיסמאות שנשמרות בטקסט גלוי ב-Active Directory‏ (AD). זה אומר שסיסמאות ה-AD של המשתמשים נשמרות באמצעות הצפנה הפיכה.
  5. Password Not Required (לא נדרשת סיסמה): הכשל הזה כולל חשבונות שלא מחייבים שימוש בסיסמה.
  6. Password Never Expires (תוקף הסיסמה לעולם לא פג): המשמעות של הכשל הזה היא שפרק הזמן של תוקף הסיסמה מוגדר לאפס. עקב ההגדרה הזו, אפילו אם תיבת הסימון תוקף הסיסמה לעולם לא פג במאפייני המשתמש אינה מסומנת, תוקף הסיסמה שלהם לעולם לא יפוג. WPT בודק את הגדרות פקיעת התוקף בקווי המדיניות של הארגון לגבי תחומים ולגבי סיסמאות לפי קבוצות משתמשים, ואת מאפייני המשתמשים.
  7. LM Hash Password (סיסמת Hash של LM): הכשל הזה מעיד על כך שהחשבון המדובר משתמש ב-Hash של מנהל רשת מקומית (LAN), שהיא שיטה מיושנת. סיסמאות אלו פגיעות להתקפות כוח גס וניתן לפצח אותן במהירות.
  8. AES Encryption Not Set (הצפנת AES לא מוגדרת): הכשל הזה מעיד על כך שהחשבון לא משתמש בתקן הצפנה מתקדם (AES) על מנת להצפין את סיסמת המשתמש. AES מצפין סיסמאות עם מפתח של 128 סיביות או 256 סיביות. סיסמאות שבהן נעשה שימוש בהצפנת AES פחות פגיעות להתקפות.
  9. DES-Only Encryption (הצפנת DES בלבד): הכשל הזה מעיד על כך שהחשבונות המושפעים הוגדרו באמצעות המנגנון תקן הצפנת נתונים (DES) שהוצא משימוש. ייתכן שזוהי תוצאה של תוכנה ישנה שאינה יודעת כיצד להגיב ל-AES.

  10. Missing Pre-Authentication (אין אימות מראש): הכשל הזה מעיד על כך שבחשבונות המושפעים האימות מראש, שהוא מנגנון אבטחה, אינו מופעל. כשהמנגנון מופעל, תהליך אימות מראש יוצר בקשת אימות מוצפנת כך שניסיונות לאמת את החשבון נרשמים במערכת.

    חשבונות כאלו נמצאים בסיכון להתקפת כוח גס. התקפות כוח גס עלולות להתרחש באופן לא מקוון וקשה לזהות אותן.

הגדרות

יש מספר הגדרות שניתן לבחור כדי להתאים אישית את ה-WPT שלכם. עיינו בקטעי המשנה הבאים למידע נוסף.

פגיעויות אופציונליות

ניתן להפעיל או להשבית שתי פגיעויות סיסמה בעת סריקת ה-WPT: הפגיעויות AES Encryption No Set או Password Never Expires. על מנת לגשת להגדרות האלו, לחצו על סמל גלגל השיניים בפינה הימנית העליונה של החלון.

סיסמאות מותאמות אישית

WPT משתמש בספריית סיסמאות גדולה על מנת לזהות סיסמאות חלשות. אם יש סיסמאות מסוימות שתרצו להוסיף לסריקת ה-WPT, ניתן לייבא קובץ טקסט שכולל את הסיסמאות האלו. על מנת לגשת להגדרה הזו, לחצו על סמל גלגל השיניים בפינה הימנית העליונה של החלון.

לפני ייבוא ​​קובץ הטקסט שלכם, ודאו שהקובץ קטן מ-10MB ושכל שורה בקובץ כוללת רק סיסמה אחת.

שפה

ניתן לשנות את שפת ה-WPT, כדי לעשות זאת, לוחצים על שם השפה בפינה הימנית התחתונה של החלון.

אבטחה

ה-Active Directory‏ (AD) ופרטי המשתמשים שלכם מאובטחים בעת השימוש ב-WPT. תוצאות הבדיקה מזהות רק את החשבונות שנכשלו בבדיקה ואת הסיבות לכשל כדי שתוכלו לפעול על מנת לתקן את המצב.

הנה פרטים לגבי האופן שבו אנחנו מטפלים בנתונים שלכם במהלך ה-WPT:

  • שום מידע מה-AD שלכם לא מועבר ל-‏KnowBe4 בשום שלב של הבדיקה.
  • הנתונים שנשלפים מה-AD שלכם מוצפנים.
  • ה-WPT לא מציג את הסיסמאות של אף אחד מחשבונות המשתמש ב-AD שלכם.
  • הסיסמאות ב-AD הן בפורמט מגובב (Hash), והפורמט המגובב אינו גלוי במהלך הבדיקה.
  • המידע שמתקבל במהלך הבדיקה נשמר בזיכרון המקומי, ולא מאוחסן בכונן.

האם המאמר הזה עזר לכם?

מספר המשתמשים שאומרים שמאמר זה עזר להם: 17 מתוך 19

לא מצאתם את מה שחיפשתם?

יצירת קשר עם התמיכה