Die ADMonitor-Komponente erfordert nur sehr wenig Anpassung und konfiguriert sich während der Installation automatisch wie folgt:
•Überwacht die Domäne, zu der der Computer gehört
•Findet den nächstgelegenen Domänencontroller
•Lädt alle Active Directory-Objekte sowie das Schema zum Erhalt einer Baseline herunter. Die Offline-AD-Datenbank wird im Unterverzeichnis ADMonitor\DB gespeichert.
•Speichert alle zukünftigen Änderungen an Objekten und Gruppenrichtlinien in der ausgewählten oder Standard-Datenbankaktion.
Grundlegende Konfiguration
Das Dialogfeld ADMonitor in der Verwaltungskonsole unterstützt die Einstellung der Zieldatenbank für alle AD-Änderungen, die Steuerung des Dienstes und die Überprüfung, ob der ADMonitor-Dienst ordnungsgemäß funktioniert.
In Datenbank speichern
Speichert alle zukünftigen Änderungen an Objekten und Gruppenrichtlinien in der ausgewählten Datenbankaktion
Kollektor verwenden
Wenn diese Option aktiviert ist, werden alle ADMonitor-Daten über den Collector gesendet. Dies ist nur dann sinnvoll und empfehlenswert, wenn ADMonitor auf einem Host ausgeführt wird, der keine direkte Netzwerkverbindung zur ausgewählten Datenbank hat.
AD-Passwörter auf Kompromittierung prüfen
Wenn diese Option aktiviert ist, wird der NTLM-Hash für alle Benutzer aus dem AD abgerufen und festgestellt, ob ein Benutzerkennwort in der Vergangenheit durch eine Datenverletzung kompromittiert worden ist. Ein kompromittiertes Kennwort bedeutet nicht, dass dieser Benutzer in AD kompromittiert wurde, es zeigt lediglich an, dass das von diesem bestimmten Benutzer verwendete Kennwort auch irgendwo anders verwendet wurde, wo es zu einem bestimmten Zeitpunkt kompromittiert wurde.
Diese Funktion erkennt auch, wenn mehr als ein Benutzer in AD das gleiche Passwort verwendet.
Wenn diese Funktion zum ersten Mal aktiviert wird, scannt ADMonitor alle Benutzerkennwörter auf Kompromisse. Nach dem ersten Erkennungsscan wird der folgende Zeitplan verwendet:
•ADMonitor prüft alle 15 Minuten, ob das Kennwort eines Benutzers in AD geändert worden ist. Wenn dies der Fall ist, aktualisiert ADMonitor die Passwort-Hashes und prüft erneut auf eine Gefährdung.
•Werden keine Passwörter geändert, aktualisiert ADMonitor die Passwort-Hashes alle 48 Stunden erneut und prüft ob eine Gefährdung vorliegt.
|
Wichtige Technische Details
•ADMonitor ist nicht in der Lage, die tatsächlichen Kennwörter abzurufen, es werden nur NTLM-Hashes abgerufen •Nur die ersten 5 Zeichen des NTLM-Hashes werden an https://api.pwnedpasswords.com übermittelt. •Der Zugriff auf pwnedpasswords.com ist derzeit kostenlos und erfordert kein Abonnement •NTLM-Hashes werden nicht in EventSentry gespeichert, sondern nur der SHA256-Hash der NTLM-Hashes, um die Erkennung von doppelten Passwörtern zu ermöglichen
|
Wenn ADMonitor keinen Zugang zum Internet hat, kann eine Offline-NTLM-Hash-Datenbank auch von GitHub heruntergeladen werden. Nach dem Download kann der vollständige Pfad zur dekomprimierten Datei im Feld "Use local password ..." angegeben werden. Bitte beachten Sie, dass die dekomprimierte Datei eine Größe von mindestens 33 GB hat. Trotz der Größe der Offline-Datei wird ADMonitor durch die Verwendung der Offline-Datenbank nicht verlangsamt.
Erweiterte Konfiguration
Die ADMonitor-Komponente unterstützt zusätzliche Konfigurationsoptionen, die mit der EventSentry ADMonitor-Konsolenanwendung konfiguriert werden können.
