如需瞭解弱式密碼測試 (WPT)，請閱讀以下部分或觀看弱式密碼測試 (WPT) 短片。

WPT 簡介

WPT 是一款免費工具，用於檢查您的 Active Directory (AD) 中是否存在易受密碼相關攻擊的使用者密碼。

WPT 會與您的 AD 連線，使用散列密碼和加密算法擷取您的密碼表。然後，這款工具會針對十個潛在的密碼漏洞分析密碼。

結果將顯示哪些使用者帳戶未通過測試及其原因。這些資訊有助於您提高組織的密碼複雜度要求，培訓使用者使用安全密碼，或者採取其他措施來提升組織的安全性。

系統要求和先決條件

如需執行 WPT，需要滿足以下要求：

• Windows 10 及以上版本（32 位或 64 位）、Windows Server 2016 或以上版本
• Active Directory (AD) 在 Windows Server 2008 R2 及以上版本上執行
• 能夠存取網域控制器 (DC)
• 網際網路存取權限
• 可安裝 .NET Framework 4.7.2（如有需要）
• 至少有兩個處理器
• 隨機存取記憶體至少有 2GB
• 系統磁碟機中至少有 1GB 的可用硬碟 (HDD) 空間
• 使用者帳戶控制 (UAC) 已啟用

我們建議在 DC 以外的系統上進行此測試，因為掃描過程中可能會暫時產生巨大的網路流量並佔用中央處理器 (CPU) 的使用率。

安裝時，您需要以下資訊：

1. 您在註冊測試時收到的電子郵件中的許可密鑰。
2. AD 的網域名稱。例如 MyDomain.com 或 MyDomain.local。
3. DC 的名稱。
4. 與您的 AD 連線的憑證。

安裝和設定

滿足系統要求和先決條件後，您就可以安裝和設定 WPT 了。要開始使用，請按照以下步驟進行：

1. 在 WPT 頁面上註冊後下載 WPT 工具，並下載 WPT 安裝文件。
2. 查看您的電子郵件並擷取您的唯一 WPT 許可金鑰，您在安裝過程中將需要使用該金鑰。
3. 執行 WPT 安裝檔案。
4. 檢視並接受許可協議。然後點擊 Install（安裝），以完成安裝。
5. 點擊 Finish（完成），以啟動 WPT。
6. 輸入您在步驟 1 中擷取的許可金鑰並點擊 OK（確定）。
7. 在 Active Directory Details（Active Directory 詳情）下方，輸入有關您的 Active Directory (AD) 的必填詳情：
   • 您的 AD 的網域名稱
   • 網域控制器 (DC) 的名稱
8. 在 Credentials（憑證）下方，輸入已建立帳戶的使用者名稱和密碼，該帳戶應當已啟用 Replicating Directory Changes（覆寫目錄變更）和 Replicating Directory Changes All（覆寫目錄變更全部）權限。
9. 點擊 Start Test（開始測試），即可開始您的測試。
10. 該測試將分析您的 AD 帳戶是否存在弱式密碼。該分析過程可能需要一分鐘或更長時間，視 AD 大小和工作站性能而定。
11. 測試完成後，結果將顯示在螢幕上。如需瞭解結果中的每個漏洞，請閱讀下一部分。

瞭解您的結果

您的 WPT 測試結果將顯示易受攻擊的帳戶數量，以及每個帳戶會受哪些漏洞的影響。以下內容將協助您瀏覽結果並瞭解所發現的密碼漏洞的類型。

瀏覽您的結果

您的 Active Directory (AD) 帳戶將顯示於單獨的行中。每行中的一個或多個核取符號表示在該特定帳戶中所發現的特定漏洞。您也可以在搜尋方塊中輸入字元，以搜尋特定帳戶。

圓餅圖會將所發現的漏洞數量和類型進行比較，可用於確定組織中最常見的密碼漏洞。

如果您想分析特定漏洞，可根據失敗類型篩選結果。為此，您可點擊視窗左側的特定失敗類型，列表中只顯示有該問題類型的帳戶。

以下是關於 WPT 使用者介面的其他資訊：

1. 您可點擊頁面左側的側邊欄，按失敗類型篩選結果。
2. 您可以在搜尋列中搜尋特定的 AD 帳戶。
3. 每行中的核取符號表示在每個帳戶中所發現的密碼漏洞類型。
4. 您可以將結果匯出至 Excel 試算表或 PDF 檔案。
5. 點擊 Rerun Test（重新執行測試），可再次執行 WPT。我們建議您在點擊此按鈕之前先儲存當前結果。

失敗類型

WPT 會分析您的資料，查找出可能使您的組織容易受到攻擊的十種不同的失敗類型，詳情如下。

1. 弱式密碼：此類失敗表明受影響帳戶的密碼與我們的弱式密碼字典中列出的密碼之一匹配。這些密碼要麼是易於猜透的常見密碼，要麼是因過去發生的資料外洩而被攻擊者盜取過。
2. 共用的密碼：此類失敗表明受影響的帳戶至少與一個其他帳戶共用了密碼。
3. 空密碼：此類失敗包括沒有設定密碼的帳戶。
4. 純文字密碼：此類失敗包括以純文字形式儲存在 Active Directory (AD) 中的密碼。這意味著使用者的 AD 密碼是使用可逆加密形式儲存的。
5. 無密碼要求：此類失敗包括具有無密碼功能的帳戶。
6. 密碼永不過期：此類失敗表明帳戶的密碼逾時設定為零。若是有此設定，即使未在使用者屬性中勾選 Password never expires（密碼永不過期）核取方塊，密碼也永遠不會過期。WPT 將檢查組織的網域政策、更細緻的密碼政策和使用者屬性中的密碼過期設定。
7. LM 散列密碼：此類失敗表明受影響的帳戶使用了過時的區域網路 (LAN) 管理器散列方法。這些密碼容易遭到暴力攻擊，很快就會被破解。
8. 未設定 AES 加密：此類失敗表明帳戶未使用進階加密標準 (AES) 加密使用者的密碼。AES 使用 128 位或 256 位金鑰對密碼進行加密。使用 AES 加密的密碼不易遭到攻擊。
9. 僅 DES 加密：此類失敗表明受影響的帳戶是採用已棄用的資料加密標準 (DES) 機制設定的。舊版軟體不知如何應對 AES 時可能會出現這樣的失敗結果。

10. 缺少預身分驗證：此類失敗表明受影響的帳戶已關閉預身分驗證（一種安全機制）。如果預身分驗證啟用，它將建立加密的身分驗證請求，以便記錄對該帳戶的身分驗證嘗試。

    該帳戶可能面臨遭到暴力攻擊的風險。暴力攻擊可以離線方式發生，並且難以偵測。

設定

您可以選擇不同的設定自訂 WPT。閱讀以下子部分以瞭解更多資訊。

可選漏洞

您可啟用或停用 WPT 掃描中的兩種密碼漏洞：AES Encryption No Set（未設定 AES 加密）或 Password Never Expires（密碼永不過期）。如需存取此類設定，請點擊視窗右上角的齒輪圖示。

自訂密碼

WPT 透過一個大型密碼庫來確定使用者的密碼是否為弱式密碼。如果您希望 WPT 掃描中新增特定密碼，則可以匯入包含這些密碼的文字檔案。如需存取此設定，請點擊視窗右上角的齒輪圖示。

在匯入文字檔案之前，請確保檔案小於 10MB，並確保檔案的每行中僅包含一個密碼。

語言

您可透過點擊視窗右下角的語言名稱來變更 WPT 語言。

安全防護

使用 WPT 時，您的 Active Directory (AD) 和使用者資訊將處於安全狀態。測試結果僅識別測試失敗的使用者帳戶及其原因，以便您可以採取行動。

以下是有關如何在 WPT 期間處理資料的詳情：

• 在測試過程中，您 AD 中的任何資訊都不會傳輸到 KnowBe4。
• 從 AD 中擷取的資料均已加密。
• WPT 不會顯示任何 AD 使用者帳戶的密碼。
• AD 中的密碼均為散列格式，且在測試期間，散列格式不可見。
• 測試過程中取得的資訊儲存在區域記憶體中，而非磁碟中。