Breached Password Test (BPT) 是一款免费工具，可分析 Active Directory (AD) 中各帐户内的各类漏洞。BPT 将检查您的域的任何用户电子邮件地址是否涉及过往的凭据泄露事件，以及是否有任何 AD 帐户当前在用的密码涉及过往的凭据泄露事件。采用这项测试，您可知道自己是否在密码方面容易受到攻击，进而提高您组织的意识。

为什么使用 Breached Password Test？

普通大众往往会对多个帐户设置密码。用户往往无法察觉自身牵涉的信息泄露事件。因此，用户不会采取应对措施，比如更改网络帐户的密码。

一旦出现漏洞且凭据遭到泄露，不法分子就能轻而易举地找到这些信息，并利用这些信息来冒充受影响的用户。另外，他们还会试图利用已泄露的密码来攻击您的域下的所有帐户，从而更容易达成入侵的目的。

如今各式各样的新型泄露事件每天轮番上演，除了现有的安全措施以外，您还应使用这款工具来降低数据泄露给组织带来的风险。我们建议至少每月使用一次这个工具。

工作原理

Breached Password Test 将与您的 AD 进行连接，从而检索您的域以及密码表（包含散列密码）和加密算法。然后，该工具会根据已泄露数据的数据库（内含 10 多亿个被泄露的密码），对您的域和密码进行分析。

我的信息是否安全？

是。此工具绝不会显示或报告您 AD 中任何用户帐户的实际密码，也不会显示或报告与您域名相关的数据泄露事件中所使用的原始凭据。AD 中的密码为散列格式，任何时候均不可见。测试结果将识别出使用弱密码的帐户，如此一来，您便可选择对这种情况进行修复。

运用这项工具时，您的网络不会泄露任何机密数据，其中只有您的 Active Directory 中的一个或多个域会被转移用于测试。测试过程中获得的信息会保存在本地内存而非磁盘中。

系统要求和先决条件

系统要求

要运行 Breached Password Test，您使用的系统必须具备以下条件：

• Windows 10 或以上版本（32 位或 64 位）、Windows Server 2016 或以上版本
• Active Directory (AD)，在 Windows Server 2008 R2 或以上版本中运行
• 域控制器 (DC) 访问功能
• Internet 访问权限
• .NET Framework 4.7.2（如有需要，可进行安装）
• 至少两个处理器
• 至少 2GB 内存
• 系统驱动器上至少有 1GB 的可用硬盘驱动器 (HDD) 空间
• 用户账户控制 (UAC) 已启用

您还应该在 DC 以外的系统上运行此测试，因为扫描过程可能会暂时产生巨大网络流量，导致 CPU 占用率升高。

先决条件

在安装过程中，您需要以下信息：

1. 许可密钥，在您注册测试时通过电子邮件发送给您
2. 您的 AD 域名（例如：MyDomain.com 或 MyDomain.local）
3. 您的域控制器 (DC) 名称
4. 连接 AD 的凭据
   • 本文将说明如何快速将这些必要权限添加至 AD 中的帐户：如何授予“复制目录更改”权限如何授予“复制目录更改”权限（链接在新窗口中打开）
   • 默认情况下，域管理员不具有访问这些信息的权限，所以，使用具有域管理员帐户的工具不一定能让您成功运行测试。
   • 我们强烈建议在 AD 中创建一个具有此类权限的新帐户，以便运行此测试。测试完成后，您应该按照最小特权原则来删除这个新帐户。

   • 为什么创建新帐户？创建一个新帐户可使您更容易确定该测试在何时进行以及哪个帐户访问了信息（如果您将来需要查找相关信息）。而且，这么做也能使您更容易移除这些权限：测试一经完成，您只需删除新增的用户帐户。

     重要提示！您在连接 AD 与 Breached Password Test 时所用的凭据必须拥有“复制目录更改”和“复制目录更改 - 全部”权限，才能成功运行测试。这些权限允许您获取密码表副本进行分析。

安装和设置

要安装和设置 Breached Password Test，请按照以下步骤操作：

1. 导航至 https://www.knowbe4.com/breached-password-test https://www.knowbe4.com/breached-password-test（链接在新窗口中打开）。

2. 在 Sign up for your Free Test 表格中，输入您的信息，单击 Download Now!。然后，我们将通过电子邮件向您发送运行测试所需的唯一许可密钥。

   

3. 在 Breached Password Test 的 Thank You 页面中，下载 EXE 安装文件。

   注意：您也可以安装可选的 Checksum 文件。

4. 双击已下载的文件，打开 KnowBe4 Breached Password Test Setup Wizard。如果系统提示允许程序对您的计算机进行更改，请单击 Yes。

   

5. 查看并同意许可协议。然后，单击 Install，运行安装向导。

   

6. 如需遵循安装向导，请按提示单击 Next。然后，单击 Finish，完成安装。Breached Password Test 工具将自动保存到您的桌面。如果您选中了 Launch KnowBe4 Breached Password Test 复选框，该工具将自动打开。

   

7. 当您打开 Breached Password Test 工具时，主界面将显示 License Info 弹出窗口。在弹出窗口的 License Key 字段里，输入您的唯一许可密钥（先前通过电子邮件发送到了您注册时所用的电子邮件地址）。然后，单击 OK，返回主界面。

   

8. 在第一个 Active Directory Details 字段里，输入 Active Directory (AD) 的 DNS 名称。例如 mydomain.com 或 mydomain.local。

   

9. 在第二个 Active Directory Details 字段里，输入域控制器 (DC) 的名称。例如 DC1。

   注意：您也可以输入 IP 地址，但我们建议您输入名称以确保可靠性，并在网络发生变化时确保安全连接持续正常工作。

10. 在第一个 Credentials 字段里，输入您所建帐户的用户名。

    注意：此帐户必须具有复制目录更改和复制目录更改 - 全部的权限。您还可以选中 Use current logged on user 复选框，使用您当前所登录帐户的凭据。
11. 在第二个 Credentials 字段里，输入您所建帐户的密码。
12. 单击 Start Test，开始测试。

该测试将首先分析 AD 中的域是否涉及数据泄露。然后，它会将 AD 中的当前密码与域中用户所涉数据泄露中发现的密码进行比较。比较过程通常不到一分钟就能完成，但具体视您的 Active Directory 和工作站的性能而定，可能需要更长时间才能完成。

测试完成后，您的结果就会显示在屏幕上。

分析结果

Breached Password Test 的结果将说明使用组织的域的帐户是否涉及泄露事件。更重要的是，其还能揭示，这些从泄露帐户流出的密码至今是否仍在您的 AD 帐户中使用。注意，已禁用的 AD 帐户不包括在您的 BPT 扫描中。

您的测试结果将显示以下三种情景之一：

情景 1：“好消息！在当前泄露列表中未发现您的域。”

如果您的 Breached Password Test 显示这种结果，则意味着该测试已扫描了 AD 中的域，并且没有在使用您的域的帐户与密码泄露数据库中的帐户之间找到任何匹配项。

请确保每周或每月继续运行此测试，因为系统会定期添加新的泄露数据。

情景 2：“在泄漏事件中发现了您的域所用的 XX 密码。这些密码目前都没有出现在您的 Active Directory 中。”

如果 Breached Password Test 显示这种结果，则意味着该测试已发现了您的一个或多个域涉及泄漏事件。不过，数据泄露期间与这些帐户关联的密码目前并未在您的 AD 中使用。

这是一个公平的测试结果，但是，众所周知，用户还是会恢复使用旧密码。因此，请务必定期运行此测试，才能主动规避这种易受攻击的情况。我们建议对您的用户开展安全意识培训，因为涉及数据泄露的用户更容易成为社会工程或鱼叉式网络钓鱼的攻击目标。

情景 3：“XX 帐户目前使用了被泄露的密码。泄漏事件中发现了您的域的 XX 密码”

如果您的测试结果显示此消息，您应呼吁对受影响的帐户采取相应措施。该界面会列出使用已泄露密码且易受攻击的 Active Directory 帐户。不法之徒能够轻松地找到并利用这些密码来攻击您的用户，从而使您的组织更容易受到入侵。

我们强烈建议受影响的用户尽快修改密码。因为用户往往会恢复使用旧密码，所以在您修复了这种情况之后，应把 Breached Password Test 作为持续安全控制的一环并定期运行该测试。

导出结果

您可以立即在屏幕上查看结果，也可以将结果以 Excel 电子表格 (.xlsx) 或 PDF 文件的形式下载到磁盘。如果您打算重新运行测试，则应保存您的结果。

如需保存结果，请单击“导出为 Excel”或“导出为 PDF”（如下所示）。您将看到一个提示，允许您命名文件并选择保存位置。

常见问题解答 (FAQ)

1. 我能否查看已泄露密码的具体内容？

   不能。密码经过散列处理，无法显示。

2. 测试期间是否生成任何日志文件？

   是，第一次运行 Breached Password Test 时会创建一个日志文件。您可以在 C:\Program Data\KnowBe4\Breached Password Test 下找到该文件。

3. 我收到了一条错误消息，我的测试没有运行。我该怎么办？

   如果您收到了一个错误，且无法完成测试，请查看下方图表，分析具体问题：

   错误消息	问题
   您尝试运行测试的 Active Directory 帐户没有“复制目录更改”权限。请在我们的手册（链接如下）中查看所需的先决条件。	您用于测试的帐户没有适当的权限。确保您已创建的帐户具有“复制目录更改”和“复制目录更改 - 全部”的权限。请见上述内容。
   由于存在无效的用户名和/或密码，测试无法运行。请检查您的凭据，然后再试一次。	我们无法通过所提供的凭据连接到您的 AD。请确保用户名和密码正确无误，然后重新运行测试。
   服务器不可用。请检查您的 DNS 名称，然后再次尝试测试。	此错误表示您的 DNS 名称不正确或格式不正确。请确保使用 mydomain.com 或 mydomain.local 的格式，然后尝试再次运行测试。
   服务器不可用。请检查您的域控制器，然后再试一次。	此错误表示您的域控制器 (DC) 名称或 IP 地址不正确，或者 DC 无法访问。请仔细检查 DC 的名称或 IP 地址，然后尝试再次运行测试。
   许可验证失败。	此错误可能表示以下两种情况之一：a) 您在使用的许可密钥无效，或者 b) 您在尝试通过代理验证许可密钥，且验证失败。如果该错误是由代理引起的，只需在您的代理设置中允许连接到该域，即可允许对许可密钥进行验证：https://bpt.knowbe4.com/*

4. 如果使用 Azure AD，我能否运行此测试？

   不能。此工具仅适用于本地 AD。

5. 我的防病毒软件将此标记为危险。它危险吗？

   不，它不危险。Breached Password Test 的行为可能会模仿黑客利用的密码破解工具，因此，您的防病毒软件可能会将其标记为潜在危险。

6. 我有几位用户的密码遭到了泄露。现在我该怎么办？

   首先，让您的用户立即修改密码。

   其次，通过安全意识培训来培训用户正确使用密码，并经常提醒他们落实这些做法。一定要告诉您的用户，千万不要对不同的帐户重复使用相同的密码。KnowBe4 会提供多门关于正确密码实践的课程，让您可以为用户提供培训。

   对于如何在您的组织中预防密码漏洞，虽然我们不能为您提供详尽的建议，但却可以指导您善用一些有用的资源。

   • TechNet：配置密码政策配置密码政策（链接在新窗口中打开）
   • TechNet：执行密码政策的最佳实践执行密码政策的最佳实践（链接在新窗口中打开）
   • Microsoft：密码指南（可下载的 PDF 文件）密码指南（可下载的 PDF 文件）（链接在新窗口中打开）

7. 您的泄露数据是从哪里来的？我能看看吗？

   用于 Breached Password Test 的数据是通过调查公开的泄露事件信息而获得的。出于隐私和安全目的，Breached Password Test 数据库属于专有信息。此外，KnowBe4 与 Spycloud.com 合作搜索过往的泄漏事件。Spycloud 是一项备受推崇的在线资源，它专门允许用户搜索自己的电子邮件地址，以便了解他们的信息是否在过往的数据泄露事件中遭遇泄露。

8. 有没有办法查看我的哪些用户的详细信息遭遇泄露？

   出于隐私和安全理由，Breached Password Test 无法提供与您的域关联的原始泄露帐户的详细信息。然而，如果您注册注册（链接在新窗口中打开）获取或直接查看您的 EEC Pro 结果，您可能会详细了解到用户所涉及的具体泄漏事件。