Berichtplanung

Kunden der Specops Password Policy haben die Möglichkeit, Berichte zu planen, die Benutzer- und Passwort-Richtlinieninformationen enthalten.

Voraussetzungen

Die Berichtsplanung muss auf einem Computer ausgeführt werden, auf dem das Specops Password Policy Domain-Administrationstool installiert ist.
Es wird empfohlen, die Berichtsplanung mit einem dedizierten Domänenadministrator-Konto auszuführen.

Berichte

Es gibt zwei verschiedene Arten von Berichten: periodische Scan-Berichte, die standardmäßig generiert werden, und PDF-Berichte, die von Administratoren generiert werden können.

Periodische Scan-Berichte: Standardmäßig wird der periodische Scan im Specops Password Policy Sentinel Service jede Nacht auf dem PDC-Emulator ausgeführt. Während des periodischen Scans werden Maßnahmen ergriffen, um beispielsweise Passwörter ablaufen zu lassen und kompromittierte Passwörter zu verwalten. Specops Password Policy Sentinel speichert Informationen aus dem periodischen Scan. Das Domain-Administrationstool kann diese Informationen anzeigen, aber es ist auch möglich, die Informationen mit Windows PowerShell 5.1 CmdLets abzurufen, wenn Automatisierung bevorzugt wird.
Password Auditor Berichte: Specops Password Auditor ist im Wesentlichen ein Tool zur Erstellung von PDF-Berichten, die Risiken im Zusammenhang mit Passwort-Richtlinien und Benutzerkonten in Active Directory auflisten. Abgesehen von der manuellen Erstellung von Berichten im Specops Password Auditor können Benutzer der Specops Password Policy (geplante) Berichte mit einem Windows PowerShell 5.1 CmdLet erstellen.

Periodische Scan-Berichte vs Password Auditor Berichte

Es gibt einen grundlegenden Unterschied zwischen Periodischen Scan-Berichten und PDF-Berichten, die durch Specops Password Auditor generiert werden. Berichte, die aus dem periodischen Scan in Specops Password Policy generiert werden, enthalten Informationen über Aktionen, die an Benutzern im periodischen Scan durchgeführt wurden, wie z.B. Passwörter, die als kompromittiert erkannt wurden. Es ist das Ergebnis eines zuvor zu einem bestimmten Zeitpunkt durchgeführten periodischen Scans. Berichte, die aus Specops Password Auditor generiert werden, enthalten hingegen einen anderen Informationssatz, der sich auf Risiken im Zusammenhang mit Benutzern und Passwort-Richtlinien bezieht. Es ist ein Schnappschuss der gesammelten Informationen, aber es wurden keine Maßnahmen an Benutzern durchgeführt.

Periodische Scan-Berichte

Das SPP-Admin-Tool PowerShell-Modul enthält die folgenden Cmdlets im Zusammenhang mit periodischen Scans:

Get-SppPeriodicScanningResultList: listet die verfügbaren Ergebnisse des periodischen Scans vom Domänencontroller auf.
Get-SppPeriodicScanningResult: gibt zusammenfassende Informationen des letzten periodischen Scans zurück oder, falls angegeben, eine spezifische Benutzerzählungs-ID. In diesem Ergebnissatz werden keine Benutzerinformationen bereitgestellt.
Get-SppPeriodicScanningResultUsers: gibt Informationen der Benutzer aus dem letzten periodischen Scan zurück oder, falls angegeben, eine spezifische Benutzerzählungs-ID.

Beachten Sie, dass die oben genannten Cmdlets Informationen aus einem durchgeführten periodischen Scan zurückgeben, aber keinen neuen periodischen Scan starten.

Specops Password Auditor Berichte

Das SPP-Admin-Tool PowerShell-Modul enthält das folgende Cmdlet im Zusammenhang mit der PDF-Berichterstellung von Password Auditor:

New-SpaReport: scannt Informationen aus Active Directory und erstellt einen PDF-Bericht. Es wird empfohlen, sorgfältig zu überlegen, wie oft und wann dieser Befehl ausgeführt werden soll, da er die Domänencontroller belastet.

Mit diesem Befehl ist es beispielsweise möglich, einen Bericht zu erstellen, der als E-Mail an einen CISO gesendet werden kann, um einen wöchentlichen Status bereitzustellen.

Während das SPA-Tool nach Benutzern mit in der Express-Liste gefundenen kompromittierten Passwörtern sucht, sind diese Berichte nicht Teil des aus dem Cmdlet generierten PDFs. Wenn Informationen über Benutzer mit kompromittierten Passwörtern von Interesse sind, wird empfohlen, das Cmdlet Get-SppPeriodicScanningResultUsers zu verwenden. Beachten Sie, dass dies keinen Specops Password Auditor PDF-Bericht generiert, sondern einen Periodischen Scan-Bericht in Specops Password Policy.

Planung von Berichten aus Specops Password Auditor

Mit dem oben genannten Cmdlet und dem Windows-Aufgabenplaner ist es möglich, die Berichtserstellung zu planen.

Nachfolgend ein Beispielskript eines generierten PDF-Berichts, der als E-Mail an den CISO der Organisation gesendet wird.

Erstellen Sie eine Skriptdatei mit dem Namen reporting.ps1. In diesem Beispiel wird die Datei hier gespeichert: C:\pdf_reports\scripts\reporting.ps1

Fügen Sie den folgenden Code in die Skriptdatei ein:

$out_folder = 'C:\pdf_reports\out'
$pdf_report_path = New-SpaReport
  -OutputDirectory $out_folder
  -Verbose 4 > $out_folder\log.txt
Send-MailMessage
  -Subject 'SPA report'
  -To 'ciso@acme.org'
  -From 'automated-reporting@acme.org'
  -SmtpServer 'smtp.acme.org'
  -Port 587
  -Attachments $pdf_report_path

Stellen Sie sicher, dass Sie Ihren bevorzugten Ausgabepfad für $out_folder festlegen und die richtigen E-Mail-Parameter für Ihre Konfiguration eingeben.

Hinweis

Es wird empfohlen, dies auf einem Server auszuführen, der kein Domänencontroller ist.

Erstellen Sie eine geplante Aufgabe im Windows-Aufgabenplaner.
1. Wählen Sie Aktion > Einfache Aufgabe erstellen
2. Geben Sie ihr einen Namen.
3. Legen Sie im Abschnitt Trigger Ihr bevorzugtes Intervall fest.
4. Wählen Sie im Abschnitt Aktion Programm starten:
  - Programm: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - Argument hinzufügen: C:\pdf_reports\scripts\reporting.ps1
Hinweis

Da einige der Berichte passwortbezogene Informationen enthalten, sind Domänenadministratorrechte erforderlich.