Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor

    Specops Password AuditorSchwache und leicht zu erratende Passwörter sind ein will­kommenes Ein­fallstor für Angreifer. Auch wenn Admini­stratoren über Richt­linien im Active Directory triviale Kenn­wörter aus­schließen, ist es ratsam, die Konten regel­mäßig auf Passwort­sicherheit zu prüfen. Dieser Aufgabe dient der kosten­lose Specops Password Auditor.

    Microsoft bezeichnet Passwörter gerne als ein Relikt aus der Vergangenheit und arbeitet nach eigenem Bekunden daran, sie als Verfahren zur Authen­tifizierung von Benutzern zu eliminieren. Die Hürden für eine pass­wortlose Anmeldung sind in der Praxis jedoch noch relativ hoch. So erfordert etwa Hello for Business ein Premium-Abo von Azure AD sowie die Konfiguration von Azure MFA.

    Gerade kleineren Unternehmen ist der Aufwand für das Einrichten einer solchen Hybrid-Cloud-Umgebung oft zu groß. Unabhängig davon ist es nicht sinnvoll, schwache Passwörter zu tolerieren, nur weil man diese mittels MFA durch einen zweiten Faktor absichert.

    Mehrere Password Policies

    Administratoren können über Richtlinien im Active Directory festlegen, welchen Anforderungen Passwörter genügen müssen, um akzeptiert zu werden. Allerdings reicht eine Policy dafür häufig nicht aus, wenn etwa Mitarbeiter mit Zugriff auf sensible Daten strengeren Regeln folgen müssen.

    Zu diesem Zweck kann der System­verwalter neben der Passwort­richtlinie für die Domäne eine so genannte fine-grained Password Policy für bestimmte User oder Gruppen definieren.

    Die Kriterien für solche Richtlinien sollte sich ein Admin nicht unbedingt selbst ausdenken, vielmehr gibt es dafür einschlägige Empfehlungen verschiedener Hersteller und Organisationen.

    Weitere Passwortkriterien

    Ein Passwort-Management beschränkt sich indes nicht bloß darauf, schwache Kennwörter zu verhindern. Vielmehr geht es dabei auch um die Gültigkeits­dauer von Passwörtern oder darum, Konten zu entdecken, die aufgrund irgendwelcher Sonder­regelungen eine Schwachstelle darstellen.

    Diese Aufgabe möchte der schwedische Hersteller Specops mit dem kostenlosen Password Auditor vereinfachen. Es handelt sich dabei um ein Reporting-Tool, das nur lesend auf das Active Directory zugreift.

    Specops Password Auditor versammelt alle Berichte in einem Dashbaord.

    Eine Prüfung widmet sich den Password Policies. Sie zeigt die Liste der gefundenen Richtlinien mit einigen Einstellungen wie den Typ oder die konfigurierte Gültigkeits­dauer für Kennwörter an. Eine an den Ampelfarben orientierte Markierung bewertet die Stärke der Regel.

    Vergleich von Policies mit Empfehlungen

    Interessanter sind indes die Erkenntnisse, die man unter Password Policy Compliance gewinnen kann. Hier lassen sich die Richtlinien mit den Empfehlungen anerkannter Organisationen vergleichen, neben Microsoft finden sich dort etwa noch NIST oder SANS Institute. Dabei kann man sich für jede Policy anzeigen lassen, bei welchen Kriterien sie von einer bestimmten Best Practice abweicht.

    Zu den nützlichsten Features von Password Auditor gehört die Prüfung von Kennwortrichtlinien.

    Ein weiterer Report enthält all jene Konten, die ein leeres Passwort haben. Es liegt auf der Hand, dass diese ein Sicherheits­risiko darstellen, vor allem wenn sie mit entsprechenden Berechtigungen ausgestattet sind.

    Report für abgelaufene Kennwörter

    Weniger ein Sicherheits­problem als eine Belastung für den Helpdesk können jene User werden, deren Kennwort abgelaufen ist bzw. in Kürze abläuft. Zu diesem Zweck liest Password Auditor die AD-Attribute pwdLastSet, userAccountControl und lastLogonTimestamp aus, um die entsprechenden Infor­mationen zu gewinnen.

    Nicht unmittelbar mit der Sicherheit von Passwörtern zu tun hat auch Admin Accounts, das alle gefundenen Konten mit administrativen Rechten anzeigt. Offenbar untersucht das Tool hier nicht nur die Gruppen­mitglied­schaften der Accounts, sondern orientiert sich am Attribut adminCount. Dieses enthält aber oft noch den Wert 1, nachdem ein Konto aus einer Administratoren­gruppe entfernt wurde.

    Der Report für Admin Accounts zeigt auch vormalig privilegierte Konten.

    Mehrfach verwendete Passwörter finden

    Ein spannendes Feature schließlich ist die Untersuchung der eigentlichen Passwörter. Diese liegen als Hash im Active Directory und sind somit nicht direkt einer Analyse zugänglich. Allerdings ist Password Auditor in der Lage, diese zu vergleichen und so heraus­zufinden, ob ein bestimmtes Kennwort von mehreren Konten verwendet wird.

    Hier greift jedoch eine Einschränkung des kostenlosen Tools, indem es die Namen der betroffenen Konten nicht preisgibt, sondern nur deren OU und ihr letztes Anmelde­datum. Die volle Funktionalität erfordert eine Lizenz für die Specops Password Policy Blacklist. Der Hersteller nennt dafür auf seiner Website allerdings keinen Preis.

    Mit ein bisschen PowerShell kann man die fehlenden Infos aber weit­gehend ergänzen, indem man die User anhand ihres letzten Anmelde­datums und ihrer OU nach diesem Muster filtert:

    Mit Hilfe von PowerShell kann man die Namen der betroffenen Konten ermitteln.

    Nachdem man alle Reports aus dem Password Auditor als CSV exportieren kann, ließe sich die ganze Liste mit etwas Geschick ohne weiteres vervoll­ständigen.

    Ebenfalls auf dieser Blacklist beruht schließlich ein weiteres interessantes Feature, nämlich der Abgleich mit einer umfang­reichen Liste von gehackten und im Internet publizierten Passwörtern. Aktiviert man diese Prüfung, dann lädt der Password Auditor erst eine mehrere GB große Datei herunter.

    Die Prüfung der Accounts anhand öffentlich kursierender Kennwörter kann übersprungen werden.

    Der Report zeigt anschließend die Konten, welche von diesem Mangel betroffen sind, verschweigt aber wieder deren Namen. Wichtig sind solche Erkenntnisse besonders in Umgebungen, die das AD mit Azure AD synchronisieren. In diesem Fall kämen die Passwörter aus öffentlich kursierenden Listen möglicher­weise auch bei der Authenti­fizierung an Cloud-Services zum Einsatz.

    Installation und Verfügbarkeit

    Specops Password Auditor kann nach einer Registrierung von der Website des Herstellers herunter­geladen werden. Die Installation des ca. 4MB großen MSI-Pakets ist trivial wie auch die Bedienung des Tools insgesamt.

    Beim ersten Start ermittelt es automatisch die Domäne und einen dazugehörigen DC. Mit einem Klick auf Start beginnt es mit dem Scan des Active Directory.

    Password Auditor ermittelt Domäne und DC selbständig, so dass man den Scan sofort starten kann.

    Anschließend repräsentiert es jeden Report in Form einer Kachel auf dem Dashboard. Diese kann man anklicken, um detaillierte Informationen zu erhalten. Die Daten lassen sich, wie bereits erwähnt, bei Bedarf im CSV-Format exportieren.

    4 Kommentare

    Christian sagt:
    11. Februar 2020 - 8:14

    Interessanter Artikel bzw. interessantes Tool.
    Ich weiß aber ehrlich gesagt nicht, ob ich die Passwörter meiner AD-Nutzer*innen mit einem "unbekannten" Tool überprüfen lassen würde -warum sollte ich der Firma trauen?
    Zumal: es gibt entsprechende PS-Skripte, mit denen man die Hashes mit den "Have I been pwned"-Daten vergleichen kann - offline und ohne dass man dazu die Daten "heraus gibt".
    Da finde ich den erwähnten Compliance Check interessanter ... aber dazu das Tool installieren? Eher nicht.

    Bild von Wolfgang Sommergut
    11. Februar 2020 - 11:24

    Klar, ein gesundes Misstrauen gegenüber Tools aus unbekannter Quelle ist immer angebracht. Aber man kann es natürlich auch übertreiben. SpecOps ist ein skandinavischer Hersteller, der seit ca. 20 Jahren am Markt ist und den Status "Microsoft Gold Partner" hat. Wenn man solchen Firmen nicht traut, dann bleiben nicht mehr viele Lieferanten für Software übrig.

    Christian sagt:
    12. Februar 2020 - 10:03
    Jens sagt:
    14. Februar 2020 - 9:42

    Hallo, Danke für den Tipp. Ich habe mich als Admin der Firma registriert und bis heute noch keine Mail mit dem Download Link bekommen. Gruß