Тест на ненадійний пароль (WPT)

Поділитися

Чи корисна ця стаття?

Останнє оновлення:

Тест на ненадійний пароль (WPT) — посібник із користування

Щоб дізнатися більше про Тест на ненадійний пароль (WPT), прочитайте розділи, наведені нижче, або перегляньте коротке відео про Тест на ненадійний пароль (WPT).

Вступ до WPT

WPT — це безкоштовний інструмент, що перевіряє службу каталогів Active Directory (AD) на наявність паролів користувачів, які можуть бути вразливими до атак, спрямованих на паролі.

WPT підключається до вашого облікового запису, щоб отримати вашу таблицю паролів, використовуючи гешовані паролі та алгоритми шифрування. Потім цей інструмент аналізує паролі на наявність десяти потенційних ознак вразливості.

У результатах аналізу відображатиметься інформація про користувацькі облікові записи, які не пройшли перевірку, і пояснюватиметься, чому так сталося. Ця інформація може допомогти вам підвищити вимоги до складності паролів у вашій організації, навчити користувачів безпечним методам роботи з паролями або вжити інших заходів, щоб гарантувати безпеку вашої організації.

Технічні вимоги до системи й необхідні попередні умови

Для запуску WPT ваша система має відповідати наведеним нижче вимогам.

  • Windows 10 або новішої версії (32- або 64-розрядна), Windows Server 2016 або новішої версії
  • Служба каталогів Active Directory (AD), що працює під керуванням Windows Server 2008 R2 або новішої версії
  • Можливість доступу до контролера домену (DC)
  • Доступ до Інтернету
  • .NET Framework 4.7.2, буде встановлено за потреби
  • Щонайменше два процесори
  • Щонайменше 2 ГБ оперативної пам’яті
  • Щонайменше 1 ГБ вільного місця на системному жорсткому диску (HDD)
  • Функція User Account Control (Контроль облікових записів користувачів, UAC) має бути ввімкненою

Ми рекомендуємо запускати цей тест через контролер домену, відмінний від вашого, оскільки процес сканування може тимчасово генерувати значний мережевий трафік і створювати навантаження на центральний процесор (ЦП).

Для встановлення вам знадобиться наведена нижче інформація.

  1. Ліцензійний ключ, який ви отримали електронною поштою під час реєстрації на тест.
  2. Ім’я домену вашої служби каталогів AD. Наприклад, MyDomain.com або MyDomain.local.
  3. Ім’я контролера домену.
  4. Облікові дані для підключення до вашої служби каталогів AD.
Важливо. Щоб тест пройшов успішно, для облікових даних, які ви використовуєте для підключення до служби каталогів AD за допомогою WPT, мають бути ввімкнені дозволи Replicating Directory Changes (Відтворення змін у каталозі) і Replicating Directory Changes All (Відтворення всіх змін у каталозі). Ці дозволи дають змогу отримати копію вашої таблиці паролів для аналізу.

Установлення та налаштування

Після того як ви виконаєте технічні вимоги до системи й забезпечите необхідні попередні умови, ви зможете встановити й налаштувати WPT. Щоб розпочати, виконайте такі дії:

  1. Зареєструйтеся, щоб завантажити інструмент WPT на нашій сторінці WPT, і завантажте файл для встановлення WPT.
  2. Перевірте свою електронну пошту, щоб отримати унікальний ліцензійний ключ WPT, який вам потрібно буде використовувати під час процесу налаштування.
  3. Запустіть файл для встановлення WPT.
  4. Ознайомтеся з умовами ліцензійної угоди та прийміть їх. Потім натисніть Install (Установити), щоб завершити встановлення.
  5. Натисніть Finish (Завершити), щоб запустити WPT.
  6. Введіть ліцензійний ключ, який ви отримали на кроці 1, і натисніть OK.
  7. У розділі Active Directory Details (Відомості про Active Directory) введіть необхідні дані з вашої служби каталогів Active Directory (AD):
    • Ім’я домену вашої служби каталогів AD
    • Ім’я вашого контролера домену (DC)
  8. У розділі Credentials (Облікові дані) введіть ім’я користувача й пароль для створеного вами облікового запису з увімкненими дозволами Replicating Directory Changes (Відтворення змін у каталозі) і Replicating Directory Changes All (Відтворення всіх змін у каталозі).
  9. Натисніть Start Test (Почати тест), щоб розпочати тест.
  10. Під час тесту ваші облікові записи служби каталогів AD буде проаналізовано на наявність ненадійних паролів. Залежно від розміру вашої служби каталогів AD і продуктивності робочої станції, цей процес може зайняти хвилину або більше.
  11. Ваші результати з’являться на екрані відразу після завершення тесту. Щоб зрозуміти кожен тип вразливості, прочитайте наступний розділ.

Пояснення результатів

Результати тесту WPT покажуть, скільки облікових записів мали вразливості та який тип вразливості вплинув на кожен обліковий запис. Наведені нижче розділи допоможуть вам зорієнтуватися в отриманих результатах і зрозуміти типи знайдених вразливостей паролів.

Розуміння результатів

Ваші облікові записи служби каталогів Active Directory (AD) будуть перераховані в окремих рядках. У кожному рядку одна або кілька міток указують на конкретні вразливості, знайдені для цього облікового запису. Ви також можете знайти певний обліковий запис, ввівши запит у поле пошуку.

Кругова діаграма порівнює кількість і тип знайдених вразливостей, і її можна використати для визначення найпоширеніших вразливостей паролів у вашій організації.

Ви можете відфільтрувати результати за типом проблеми, якщо хочете проаналізувати конкретну вразливість. Для цього натисніть певний тип проблеми в лівій частині вікна, і в списку залишаться тільки облікові записи, що містять цей тип вразливості.

Нижче наведено додаткову інформацію про інтерфейс користувача тесту WPT.

  1. Ви можете відфільтрувати результати за типом проблеми, натиснувши бокову панель ліворуч на сторінці.
  2. Ви можете шукати певні облікові записи служби каталогів AD в рядку пошуку.
  3. Мітки в кожному рядку вказують на тип вразливості пароля, знайдений для кожного облікового запису.
  4. Результати можна експортувати у вигляді таблиці Excel або PDF-файлу.
  5. Натисніть Rerun Test (Почати тест знову), щоб знову запустити тест WPT. Ми рекомендуємо вам зберегти поточні результати, перш ніж натиснути цю кнопку.

Типи проблем

Тест WPT аналізує ваші дані, щоб знайти десять різних типів проблем, які можуть зробити вашу організацію вразливою до атак, описаних нижче.

  1. Weak Password (Ненадійний пароль). Ця проблема вказує на те, що пароль відповідного облікового запису збігається з одним із паролів, перелічених у нашому словнику ненадійних паролів. Ці паролі або дуже поширені, або легко вгадуються, або стали доступними зловмисникам через минулі витоки даних.
  2. Shared Password (Спільний пароль). Ця проблема вказує на те, що відповідний обліковий запис має спільний пароль принаймні з одним іншим обліковим записом.
  3. Empty Password (Пустий пароль). Ця проблема стосується облікових записів, які не мають установленого пароля.
  4. Clear Text Password (Незашифрований пароль). Ця проблема стосується паролів, які зберігаються в службі каталогів Active Directory (AD) у незашифрованому вигляді. Це означає, що паролі користувачів AD зберігаються з використанням зворотного шифрування.
  5. Password Not Required (Пароль необов’язковий). Ця проблема стосується облікових записів, які можуть не мати пароля.
  6. Password Never Expires (Термін дії пароля ніколи не закінчується). Ця проблема вказує на те, що для облікового запису не встановлений термін дії пароля. Завдяки цьому налаштуванню, навіть якщо у властивостях користувача не встановлено прапорець Password never expires (Термін дії пароля ніколи не закінчується), термін дії пароля ніколи не закінчиться. Тест WPT перевірить налаштування закінчення терміну дії пароля в політиках щодо домену вашої організації, детальних політиках щодо паролів і властивостях користувачів.
  7. LM Hash Password (Гешований пароль LM). Ця проблема вказує на те, що відповідний обліковий запис використовує геш менеджера локальної мережі (LAN). Цей метод є застарілим. Ці паролі вразливі до атак методом підбору й можуть бути швидко зламані.
  8. AES Encryption Not Set (Шифрування AES не встановлено). Ця проблема вказує на те, що обліковий запис не використовує стандарт Advanced Encryption Standard (Передовий стандарт шифрування, AES) для шифрування пароля користувача. Стандарт AES шифрує паролі за допомогою 128-бітного або 256-бітного ключа. Паролі, які використовують шифрування AES, менш вразливі до атак.
  9. DES-Only Encryption (Тільки DES-шифрування). Ця проблема вказує на те, що уражені облікові записи були створені з використанням застарілого механізму шифрування Data Encryption Standard (DES). Це може бути наслідком використання старого програмного забезпечення, яке не має механізму взаємодії зі стандартом AES.

  10. Missing Pre-Authentication (Відсутня попередня автентифікація). Ця проблема вказує на те, що у відповідних облікових записах вимкнено попередню автентифікацію, яка є важливим механізмом безпеки. Якщо цю функцію ввімкнено, попередня автентифікація створює зашифрований запит на автентифікацію, щоб спроби входу до облікового запису вносилися до журналу.

    Цей обліковий запис може бути під загрозою атаки методом підбору пароля. Атаки методом підбору пароля можуть відбуватися в автономному режимі, і їх важко виявити.

Параметри

Ви можете вибрати різні параметри, які дадуть вам змогу налаштувати ваш тест WPT. Ознайомтеся з пунктами нижче, щоб отримати додаткову інформацію.

Додаткові вразливості

Ви можете ввімкнути або вимкнути дві вразливості паролів під час виконання тесту WPT: AES Encryption No Set (Шифрування AES не встановлено) або Password Never Expires (Термін дії пароля ніколи не закінчується). Щоб отримати доступ до цих параметрів, натисніть піктограму у вигляді шестерні у верхньому правому куті вікна.

Користувацькі паролі

Тест WPT використовує велику бібліотеку паролів, щоб визначити, чи є пароль користувача ненадійним. Якщо є певні паролі, які ви хочете додати до тесту WPT, ви можете імпортувати текстовий файл із цими паролями. Щоб отримати доступ до цього параметра, натисніть піктограму у вигляді шестерні у верхньому правому куті вікна.

Перед імпортуванням текстового файлу переконайтеся, що його розмір не перевищує 10 МБ і що в кожному рядку файлу міститься тільки один пароль.

Мова

Ви можете змінити мову тесту WPT, натиснувши назву мови в правому нижньому куті вікна.

Безпека

Під час використання тесту WPT ваша служба каталогів Active Directory (AD) та інформація про користувача залишаються в безпеці. Результати тесту визначають лише облікові записи користувачів, які не пройшли тест, і повідомляють про причини цього, щоб ви могли вжити заходів.

Нижче наведено докладну інформацію про те, як обробляються ваші дані під час тесту WPT.

  • Жодна інформація з вашої служби каталогів AD не передаватиметься компанії KnowBe4 в будь-який момент під час тесту.
  • Дані, отримані з вашої служби каталогів AD, будуть зашифровані.
  • Тест WPT не відображає паролів жодного з ваших облікових записів користувачів служби каталогів AD.
  • Паролі в службі каталогів AD зберігаються в гешованому форматі, і їх не буде видно під час тесту.
  • Інформація, отримана під час тесту, зберігається на локальному пристрої для запам’ятовування, а не на диску.

Чи була ця стаття корисна?

17 з 19 вважають статтю корисною

Не можете знайти потрібне?

Отримати підтримку