Weak Password Test (WPT)

Поделиться

Это полезная статья?

Последнее обновление:

Weak Password Test (WPT): руководство пользователя

Чтобы узнать больше о Weak Password Test (WPT), ознакомьтесь с разделами ниже или посмотрите короткое видео Weak Password Test (WPT).

Знакомство с WPT

WPT — это бесплатный инструмент, который ищет в ваших службах Active Directory (AD) пароли, которые киберпреступники могут использовать в атаках.

WPT подключается к AD и извлекает таблицу паролей, используя хешированные пароли и алгоритмы шифрования. Затем он анализирует эти пароли, пытаясь найти у них 10 потенциальных уязвимостей.

В итоговом отчете будет видно, какие учетные записи не прошли проверку и почему. Эти данные помогут понять, нужно ли повысить требования к сложности паролей в организации, обучить пользователей созданию надежных паролей или принять другие меры по усилению безопасности.

Системные требования и предварительные условия

Для работы с WPT ваша система должна соответствовать следующим требованиям:

  • Windows 10 или более поздняя версия (32- или 64-разрядная), Windows Server 2016 или более поздняя версия
  • Active Directory (AD) на базе Windows Server 2008 R2 или более поздней версии
  • Доступ к контроллеру домена
  • Доступ к Интернету
  • .NET Framework 4.7.2 (будет установлена при необходимости)
  • Хотя бы двухъядерный процессор
  • Хотя бы 2 ГБ оперативной памяти
  • Хотя бы 1 ГБ на системном жестком диске
  • Включенный контроль учетных записей пользователей (UAC)

Рекомендуется запускать этот тест в системе, которая не служит контроллером домена, так как в ходе проверки создается много сетевого трафика и значительно нагружается центральный процессор.

Для установки требуется следующее:

  1. Ключ лицензии, который вы получите на электронную почту после регистрации на тестирование.
  2. Доменное имя AD, например MyDomain.com или MyDomain.local.
  3. Имя контроллера домена.
  4. Учетные данные для подключения к AD.
Важно. Для запуска теста у учетных данных для подключения AD должны быть разрешения Репликация изменений каталога и Репликация всех изменений каталога. Без этих разрешений вы не сможете получить копию таблицы паролей для анализа.

Установка и настройка

Если система соответствует требованиям и соблюдены предварительные условия, можно установить и настроить WPT. Для этого выполните следующие шаги.

  1. Войдите в систему и загрузите файл установки на странице WPT.
  2. Найдите в почтовом ящике уникальный ключ лицензии WPT, необходимый для настройки инструмента.
  3. Запустите файл установки WPT.
  4. Прочитайте и примите лицензионное соглашение. Затем нажмите Install (Установить), чтобы выполнить установку.
  5. Нажмите Finish (Завершить), чтобы запустить WPT.
  6. Введите ключ лицензии, который вы получили на шаге 1, и нажмите OK.
  7. В разделе Active Directory Details (Сведения об Active Directory) введите нужную информацию:
    • Доменное имя AD
    • Имя контроллера домена
  8. В разделе Credentials (Учетные данные) введите имя пользователя и пароль созданной учетной записи, которой даны разрешения Репликация изменений каталога и Репликация всех изменений каталога.
  9. Нажмите Start Test (Начать тест), чтобы запустить тест.
  10. Инструмент проанализирует учетные записи AD в поиске ненадежных паролей. Это может занять минуту или больше в зависимости от размера AD и производительности компьютера.
  11. Сразу после завершения теста на экране отобразятся результаты. Чтобы узнать больше о каждой уязвимости, прочитайте следующий раздел.

Объяснение результатов

В результатах WPT вы увидите, сколько у вас уязвимых учетных записей и как на них влияют уязвимости. Следующие разделы помогут разобраться в результатах и понять, какие типы уязвимостей паролей были найдены.

Структура результатов

Для каждой учетной записи AD выделена отдельная строка в списке. В каждой строке галочками обозначены уязвимости, найденные в учетной записи. Чтобы найти конкретную учетную запись, воспользуйтесь поисковой строкой.

Круговая диаграмма показывает количество уязвимостей по типам. Она помогает понять, какие из них встречаются в вашей организации чаще остальных.

Чтобы проанализировать конкретную ошибку, можно отфильтровать результаты только по ней. Для этого выберите тип ошибки в левой части окна. В списке останутся только учетные записи с этой ошибкой.

Ниже вы найдете дополнительную информацию о пользовательском интерфейсе WPT.

  1. Можно отфильтровать результаты по типу ошибки, выбрав ее на левой боковой панели.
  2. С помощью поисковой строки можно найти конкретную учетную запись AD.
  3. Галочками в строках обозначаются типы уязвимостей паролей, найденные в каждой учетной записи.
  4. Результаты можно экспортировать в виде таблицы Excel или файла PDF.
  5. Нажмите Rerun Test (Повторить тест), чтобы запустить WPT еще раз. Рекомендуем сохранить текущие результаты, прежде чем нажимать эту кнопку.

Типы ошибок

WPT анализирует данные, пытаясь найти 10 типов ошибок, которые могут поставить организацию под удар. Подробнее о каждом из них ниже.

  1. Weak Password (Ненадежный пароль). Эта ошибка указывает на то, что пароль учетной записи есть в нашем списке ненадежных. Этот список состоит из паролей, которые слишком часто используются, легко угадываются или уже есть у злоумышленников из-за утечек данных в прошлом.
  2. Shared Password (Общий пароль). Эта ошибка указывает на то, что пароль этой учетной записи совпадает с паролем по крайней мере одной другой учетной записи.
  3. Empty Password (Пустой пароль). Эта ошибка означает, что для учетной записи не задан пароль.
  4. Clear Text Password (Пароль в читаемом виде). Эта ошибка указывает на то, что пароли хранятся в Active Directory в виде читаемого текста. Это означает, что при сохранении паролей пользователей AD применялось обратимое шифрование.
  5. Password Not Required (Пароль не требуется). Эта ошибка указывает на то, что для этих учетных записей пароли не обязательны.
  6. Password Never Expires (Бессрочный пароль). Эта ошибка указывает на учетные записи, в которых для срока действия пароля выбрано нулевое значение. Из-за этой настройки срок действия пароля никогда не истекает, даже если в свойствах пользователя не стоит флажок Password never expires (Бессрочный пароль). WPT проверит настройки срока действия паролей в политике домена, политиках паролей и свойствах пользователей организации.
  7. LM Hash Password (Пароль с использованием хеша LM). Эта ошибка указывает на то, что учетная запись использует устаревший метод хранения паролей — хеш LAN Manager. Такие пароли не выдерживают атак методом перебора, их легко взломать.
  8. AES Encryption Not Set (Без шифрования AES). Эта ошибка указывает на то, что для шифрования паролей в учетной записи не используется стандарт шифрования AES (Advanced Encryption Standard). AES шифрует пароли с помощью 128- или 256-битного ключа. Пароли с шифрованием AES менее уязвимы.
  9. DES-Only Encryption (Только шифрование DES). Эта ошибка указывает на то, что для настройки учетной записи использовался устаревший алгоритм шифрования DES (Data Encryption Standard). Возможно, дело в старом программном обеспечении, которое не умеет работать с AES.

  10. Missing Pre-Authentication (Нет предварительной аутентификации). Эта ошибка указывает на то, что в учетной записи отключен такой механизм безопасности, как предварительная аутентификация. Когда она включена, создается зашифрованный запрос на аутентификацию, что позволяет регистрировать попытки входа в учетную запись.

    Учетные записи с этой ошибкой могут быть атакованы методом перебора. Атаковать таким методом можно без подключения к сети, и тогда эти атаки сложно обнаружить.

Настройки

В WPT есть разные настройки, которые вы можете изменить. Подробную информацию см. в разделах ниже.

Уязвимости с возможностью выбора

Есть две уязвимости паролей, которые можно включить в проверку или исключить из нее: AES Encryption No Set (Без шифрования AES) и Password Never Expires (Бессрочный пароль). Чтобы открыть настройки, нажмите значок шестеренки в правом верхнем углу окна.

Другие пароли

WPT использует большую библиотеку паролей, чтобы оценить их надежность. Если требуется добавить в проверку конкретные пароли, их можно импортировать в виде текстового файла. Чтобы открыть настройки, нажмите значок шестеренки в правом верхнем углу окна.

Перед импортом текстового файла убедитесь, что его размер не превышает 10 МБ, а каждый пароль в нем введен с новой строки.

Язык

Чтобы изменить язык WPT, выберите его в правом нижнем углу окна.

Безопасность

Во время использования WPT данные Active Directory и пользователей надежно защищены. В результатах теста вы увидите только те учетные записи, которые его не прошли, и причины неудачи. Это поможет вам принять меры.

Вот как WPT обращается с данными.

  • Никакие данные AD не будут переданы в KnowBe4 во время теста.
  • Данные, извлеченные из AD, зашифрованы.
  • WPT не показывает пароли учетных записей пользователей AD.
  • Пароли хранятся в AD в хешированном формате, который не виден во время теста.
  • Данные, полученные во время теста, сохраняются в локальной памяти, а не на диске.

Эта статья была вам полезна?

Пользователи, считающие этот материал полезным: 17 из 19

Не нашли то, что искали?

Служба поддержки