使用 PasswordIQ

分享

本文是否有帮助?

上次更新时间:

PasswordIQ 产品手册

KnowBe4 的 PasswordIQ 适用于钻石级与 SAT Advanced 订阅,让您可监控用户的密码漏洞。PasswordIQ 客户端会扫描您的 Active Directory (AD) 密码相关设置中的各种漏洞,并将用户的密码与各项列表及数据库中的已泄露密码和弱密码进行比较。然后,客户端会与 KSAT 沟通,并在报表面板上显示扫描结果。

要启用 PasswordIQ,可打开 Account Settings(账户设置),前往 Account Integrations(账户集成) > PasswordIQ。然后,选中 Enable PasswordIQ(启用 PasswordIQ)复选框。

注意:要使用 PasswordIQ,您需要有 AD 本地版本。PasswordIQ 与 Microsoft Entra ID 不兼容。

请参见以下部分,了解如何安装客户端、运行扫描和查看结果。

重要提示:PasswordIQ 绝不会显示或报告用户的密码。在 AD 中,所有密码均以散列格式进行加密并存储,因此 PasswordIQ 和 KnowBe4 无法访问非散列格式的密码。

要求

要安装 PasswordIQ 客户端,您需要满足下列要求:

重要提示:建议您不要在用作域控制器的计算机上安装客户端,请改用其他计算机安装。扫描过程可能会产生较高的网络流量并占用较多的计算机处理器 (CPU) 内存。为得到最佳效果,可在持续运行的虚拟机或服务器上安装此客户端。
  • 您可访问符合以下要求的计算机:
    • 计算机操作系统为 Windows 10 或更高版本(32 位或 64 位)或 Windows Server 2016 或更高版本。

    • 计算机在使用 .NET Framework 4.7.2 或更高版本。

      注意:如果您的计算机没有此框架,安装向导将为您安装 4.7.2 版本。
    • 计算机至少有 4GB 内存。
    • 计算机的系统驱动器至少有 1GB 的可用硬盘驱动器 (HDD) 空间。
    • 已在计算机的用户帐户控制 (UAC) 设置中启用 UAC。

  • 您可访问在 Windows Server 2008 R2 或更高版本运行的本地 AD。

    注意:如果您有多个 AD 域,则须为每个域安装不同的客户端实例。
  • 您可访问 AD 域管理员或可提升为 AD 域管理员的 AD 账户。此账户必须具有复制目录更改复制目录更改全部的权限。有关更多信息,请参阅 Microsoft 的文章复制目录更改权限
  • 您是 KSAT 管理员或担任具有 PasswordIQ /权限的安全角色。

漏洞

PasswordIQ 客户端会扫描每个用户的 11 种漏洞,并将已发现漏洞报告给 KSAT。此外,我们的风险得分报告会在计算风险得分时将这些漏洞用作风险因素。有关更多信息,请参阅 SmartRisk™ 引擎和风险得分指南

有关这些漏洞的更多信息,请查看下表:

漏洞 描述 风险得分严重等级
弱密码 该密码与我们的弱密码列表中的一类密码相匹配,是普通常规或容易猜到的密码。网络犯罪分子就能轻易猜出密码并访问用户账户。
共享密码 该密码与您的 AD 中至少一个其他用户的密码相匹配。该密码可能是常用或简单的密码,网络犯罪分子就能轻易访问用户账户。
明文密码 该密码通过可逆加密方式存储在您的 AD 中。该密码可能会被解密,网络犯罪分子就能轻易访问用户账户。
空密码 该密码不包含任何字符,用户可在登录账户时将密码字段留空。包括网络犯罪分子在内的任何人都能轻易访问用户账户。
仅 DES 加密 该帐户使用了数据加密标准 (DES) 来加密用户密码。由于仅通过 56 位密钥加密密码,因此 DES 早已是过时的加密手段,而新型的加密方法则会使用更加安全的长密钥。网络犯罪分子就能轻易猜出密码并访问用户账户。
密码泄露 该密码在与您的 AD 账户关联的数据泄露中被暴露了。用户的常用密码能被网络犯罪分子轻易破解。
无密码要求 该帐户不要求用户在登录时输入密码。包括网络犯罪分子在内的任何人都能轻易访问账户。
密码永不失效 此类失败表明账户的密码超时设置为零。由于此设置,即使未勾选用户属性中的密码永不失效复选框,用户的密码也永远不会失效。PasswordIQ 将检查您组织的域政策、细粒度密码政策和用户属性中的密码过期设置。不经常更改的密码更有可能被网络犯罪分子猜到。
LM 散列密码 账户使用 LAN 管理器 (LM) 散列。LM 散列可将密码转换为全部字母大写,将密码限制为 14 个字符,并将这 14 个字符分成两组(每组 7 个字符)。这样做会削弱密码的保护强度,让网络犯罪分子更轻易破解密码。
AES 加密 账户没有使用高级加密标准 (AES) 来加密用户密码。AES 使用 128 位或 256 位密钥对密码进行加密。因此,使用 AES 加密的密码不易受到攻击。
缺少预身份验证 账户不要求预身份验证,让网络犯罪分子轻易猜出密码并攻击账户。预身份验证利用基于用户密码的密钥,对登录请求的时间戳进行加密。这种做法会记录每次尝试登录账户的行为,因而可防止密码猜测攻击。

如需了解如何解决这些漏洞,请参阅以下解决漏洞部分。

复制 API 令牌

您需要有产品 API 令牌,才能将 PasswordIQ 客户端连接至 KSAT 控制台。

按照以下步骤,创建和复制 API 令牌:

  1. 登录您的 KSAT 帐户。
  2. 选择 PasswordIQ 选项卡。
  3. 单击 PasswordIQ 客户端设置
  4. 令牌名称字段中为您的令牌输入名称。
  5. 为令牌选择到期日期
  6. 选择用户
  7. 单击创建令牌

  8. 在打开的“产品 API 令牌”弹出窗口中,单击 PasswordIQ API 令牌,即可复制该令牌。您需要使用此令牌,才能完成以下安装客户端部分中的设置。

    重要提示:一旦关闭该窗口,则无法再次查看该令牌。

  9. 单击确定

安装客户端

请先确认您的计算机是否符合上述要求部分中的要求,再安装 PasswordIQ 客户端。然后,按照上述复制 API 令牌部分中的说明,复制 API 令牌。

按照以下步骤,安装客户端:

  1. 登录您的 KSAT 帐户。
  2. 选择 PasswordIQ 选项卡。

  3. 欢迎使用 PasswordIQ 说明的步骤 2 中,单击 PasswordIQ 客户端链接。

    下载客户端

  4. 单击弹出窗口中的确认按钮。

    Windows 弹出窗口 PNG

  5. 单击 Next(下一页)按钮。
  6. 阅读“软件许可协议”,然后单击 Accept(接受)按钮,接受条款和条件。

  7. 如果您的计算机使用代理服务器来访问 Internet,请选中 Use a Proxy Server(使用代理服务器)复选框并填写字段。有关更多信息,请查看以下截图和列表。如果您的计算机没有使用代理服务器来访问 Internet,请跳过此步骤。

    代理服务器信息

    1. IP 地址或名称:输入代理服务器的 IP 地址或名称。打开计算机的代理服务器设置,前往网络与 Internet > 代理,即可查找相关信息。
    2. 端口号:输入代理服务器的端口号。打开计算机的代理服务器设置,前往网络与 Internet > 代理,即可查找相关信息。
  8. 单击 Next(下一页)按钮。

  9. 应用程序编程接口 (API) 令牌字段中,粘贴在上述复制 API 令牌部分中所复制的 API 令牌。

    “API 令牌”界面

  10. 单击 Next(下一页)按钮。

  11. Username(用户名)Password(密码)字段中,输入符合必要权限的 AD 服务账户的登录凭据。客户端会使用此服务账户,运行所有预定扫描。

    注意:如果此账户未获得作为服务登录权限,客户端就会自动将此权限分配给账户。

  12. 单击 Next(下一页)按钮,完成安装。

运行扫描

安装 PasswordIQ 客户端后,即可开始扫描 AD 并查找漏洞。您需要通过客户端运行首次扫描。首次扫描完成后,即可通过报表面板运行扫描并创建扫描计划。有关更多信息,请参阅文章如何使用 PasswordIQ 报表面板中的运行扫描部分。

注意:为了保护您的密码相关信息,PasswordIQ 在扫描期间所收集的数据绝对不会永久存储在您的计算机硬盘上。这些数据只会暂时存储在计算机的随机存取存储器 (RAM) 中。

按照以下步骤,运行首次扫描:

  1. 打开 PasswordIQ 客户端。

  2. 打开 Quick Scan(快速扫描)部分,单击 Scan Now(立即扫描)按钮。

    注意:要访问这些设置,可单击窗口右上角的齿轮图标。在高级设置中,您可以选择在扫描中包含两个可选漏洞:未设置 AES 加密密码永不失效

    “立即扫描”按钮

  3. 扫描成功后,单击查看报表面板按钮,即可在 KSAT 中查看扫描结果。

    “查看报表面板”按钮

设置

在您的 PasswordIQ 客户端中,您可以通过单击客户端右上角的设置图标来自定义您的设置。在打开的模式中,您可以看到两个选项卡:通用高级。如需了解这些选项卡的更多信息,请查看下面各个子部分的内容。

通用

通用选项卡上,您可以编辑两个部分:API 令牌代理服务器。这些部分包括您首次启动 PIQ 客户端时所设的设置。

API 令牌字段中,您可以更改从 KSAT 控制台输入的 API 令牌。要保存更改,请单击验证 API 令牌

代理服务器字段中,您可以更改计算机用于连接到互联网的代理服务器。如果此字段已禁用,请选中使用代理服务器复选框,然后输入要使用的名称或 IP 地址。在端口号字段中,输入代理服务器的端口号。要保存更改,请单击验证代理设置

高级

高级选项卡上,您可以编辑两个部分:自定义域控制器自定义组织单位。在自定义域控制器部分,您可以通过在自定义域控制器字段中输入计算机名称或 IP 地址来选择您希望 PasswordIQ 扫描的任何域控制器。

自定义组织单位部分,您可以从下拉菜单中选择一个或多个 PasswordIQ 要扫描的组织单位。

查看结果

通过 PasswordIQ 客户端,您只能查看部分结果,所以建议您使用 KSAT 账户来查看并分析结果。要前往报表面板,可选择 KSAT 控制台的 PasswordIQ 选项卡。

要查看扫描结果,可使用默认报表面板或创建自定义报表面板。有关更多信息,请参阅文章如何使用 PasswordIQ 报表面板

将智能组用于已检测用户

如果在网络钓鱼或培训活动中检测到用户的漏洞,则可使用智能组来注册这些用户。例如,若有用户在创建强密码 - 安全意识培训培训模块中使用了弱密码,您可使用 PasswordIQ 事件条件来注册这些用户。

如需了解智能组的更多信息,请参阅我们的智能组概览

解决漏洞

查看结果后,您可与用户一起解决密码漏洞。有关更多信息,请参阅文章如何解决密码漏洞

本文是否有帮助?

21 人中有 21 人觉得有帮助

未找到您需要的内容?

联系支持人员