Flexible Security for Your Peace of Mind

Impact de l’exécution de Specops Password Auditor sur Active Directory

Specops Password Auditor (SPA), Specops Password Policy (SPP) et Breached Password Protection (BPP) sont souvent utilisés ensemble pour aider les organisations à améliorer la sécurité et la bonne santé de leurs mots de passe dans Active Directory (AD).

Ils exécutent souvent SPA en premier – et pourquoi pas, il est GRATUIT (téléchargez-le ici) ! Cet outil vous donne un bon état des lieux de la gravité des problèmes avec les mots de passe de vos utilisateurs et peut être exécuté à partir de n’importe quel poste de travail joint à un domaine.

Une fois qu’ils ont un rapport de base de SPA, cela conduit souvent à une démonstration de faisabilité avec SPP, ainsi que son service BPP, qui, ensemble, offrent une protection continue lorsqu’ils sont appliqués aux comptes d’utilisateurs finaux.

Au cours de toutes les phases de mise en œuvre, nous sommes souvent interrogés sur l’impact technique de l’utilisation de ces solutions sur AD et d’autres services.

Dans la première partie de cet article, nous examinerons l’impact de SPA sur AD. La partie 2 examinera l’impact du SPP et du BPP sur la MA.

Specops Password Auditor

Tout d’abord, regardons SPA. Comme mentionné dans l’introduction, il s’agit essentiellement d’une application de bureau qui peut être exécutée par un utilisateur régulier, ou par un administrateur de domaine.

Si vous l’exécutez en tant qu’administrateur de domaine, vous aurez accès à 3 rapports avancés sur :

  • Les utilisateurs utilisent actuellement un mot de passe compromis ;
  • Les utilisateurs ont le même mot de passe ;
  • Les utilisateurs ont un mot de passe vide.

Et voici les pré-requis à son utilisation :

  • Le poste de travail ou le serveur sur lequel vous l’exécutez doit être Windows 8/10 ou Server 2012 et supérieur ;
  • La dernière version de MS .net Framework doit être installée ;
  • Domaine AD rejoint sur le LAN (pas VPN) ;
  • Être capable de contacter un DC sur tous les ports réseau Windows/RPC habituels – il y en a beaucoup.

La connexion LAN à un contrôleur de domaine est importante car les trois rapports spéciaux mentionnés ci-dessus doivent extraire les hachages de mots de passe actuels de vos utilisateurs à partir du contrôleur de domaine. Cela ne prend que quelques secondes, mais toute perte de paquet peut interrompre le processus et vous devrez peut-être recommencer.

Ensuite, vous devrez télécharger la version Express de la base de données BPP.

Ceci est toujours gratuit lorsqu’il est utilisé avec SPA, il a une taille de 5 Go composée de 256 fichiers de 18 Mo environ, ce qui représente au total environ 738 millions des hachages de mots de passe divulgués les plus couramment utilisés. Nous mettons régulièrement à jour cette base de données et chaque fois que vous exécutez SPA, il vérifie que vous disposez de la dernière version et vous donne la possibilité de la télécharger. Assurez-vous donc que vous disposez de suffisamment d’espace de disque local sur votre poste de travail/serveur pour stocker et mettre à jour cette base de données.

Il téléchargera les fichiers depuis : https://download.specopssoft.com

Rappelez-vous que cet outil ne déchiffre le mot de passe de personne, il extrait purement temporairement les hachages. En fait, il utilise les mêmes méthodes que la réplication AD. Ainsi, aucune règle n’est enfreinte et nous n’accédons à aucune donnée qui n’est pas déjà disponible pour un compte de niveau administrateur de domaine.

Le rapport ne prend que quelques secondes pour s’exécuter, puis la page de résultats vous sera présentée.

À partir de là, vous pouvez explorer chaque rapport et extraire les données au format CSV si vous avez besoin de les analyser plus en détail.

SPA peut également produire un rapport PDF sophistiqué qui expliquera la signification de chaque résultat si vous devez présenter vos conclusions au conseil d’administration ou à la haute direction.

Il NE TRANSMET PAS non plus de données à Specops ainsi, en dehors du téléchargement du programme d’installation et de la base de données de 5 Go, vous pouvez très bien l’exécuter sur un ordinateur sans connexion Internet. Il n’y a pas non plus de publicités ou quoi que ce soit d’ennuyeux comme vous le trouvez habituellement dans les logiciels gratuits.

SPA n’apportera aucune modification à vos données, il s’agit uniquement d’un outil de création de rapports. Par conséquent, toute action ultérieure – comme demander aux utilisateurs dont les mots de passe ont été compromis de les modifier – devra être effectuée manuellement si vous exécutez SPA de manière isolée.

Cependant, si vous utilisez SPP/BPP, vous pouvez automatiser cette action, le cas échéant, pour vos utilisateurs et leur environnement de travail actuel. Ce qui nous amène bien comme convenu à aborder SPP/BPP.

Voir la partie 2 du blog ici.

(Dernière mise à jour le 25/10/2022)

Revenir sur le blog