Berichterstattung
Specops Password Policy bietet eine Möglichkeit, Berichte über die regelmäßigen Scans anzuzeigen, die es durchführt. Darüber hinaus können Benutzer von Specops Password Policy regelmäßige Berichte planen, die von SPA generiert werden.
Anzeigen von Berichten über regelmäßige Scans
Im Domain Administration Tool können Sie eine Zusammenfassung des letzten regelmäßigen Scans oder frühere Berichte anzeigen.
- Gehen Sie im Domain Administration Tool zu Periodic Scanning.
- Verwenden Sie das Dropdown-Menü Report Date, um die Ergebnisse früherer regelmäßiger Scans anzuzeigen.
Sie können konfigurieren, wie viele Berichte im Abschnitt Settings gespeichert werden. Weitere Informationen finden Sie auf der Domain Administration Tool Seite.
Automatisieren und Planen von Berichten
Es gibt zwei verschiedene Arten von Berichten: Berichte über regelmäßige Scans, die standardmäßig generiert werden, und PDF-Berichte, die von Administratoren generiert werden können.
-
Berichte über regelmäßige Scans: Standardmäßig wird der regelmäßige Scan im Specops Password Policy Sentinel Service jede Nacht auf dem PDC-Emulator ausgeführt. Während des regelmäßigen Scans werden Maßnahmen ergriffen, um beispielsweise Passwörter ablaufen zu lassen und kompromittierte Passwörter zu behandeln. Specops Password Policy Sentinel speichert Informationen aus dem regelmäßigen Scan. Das Domain Administration Tool kann diese Informationen anzeigen, aber es ist auch möglich, die Informationen mit Windows PowerShell 5.1 CmdLets abzurufen, wenn Automatisierung bevorzugt wird.
-
PDF-Berichte: Specops Password Auditor ist im Wesentlichen ein Tool zur Erstellung von PDF-Berichten, die Risiken im Zusammenhang mit Passwort-Richtlinien und Benutzerkonten in Active Directory auflisten. Abgesehen von der manuellen Erstellung von Berichten im Specops Password Auditor können Benutzer von Specops Password Policy (geplante) Berichte mit einem Windows PowerShell 5.1 CmdLet erstellen.
Berichte über regelmäßige Scans vs. Specops Password Auditor PDF-Berichte
Es gibt einen grundlegenden Unterschied zwischen Berichten über regelmäßige Scans und Berichten, die durch Specops Password Auditor generiert werden. Berichte, die aus dem regelmäßigen Scan in Specops Password Policy generiert werden, enthalten Informationen über Aktionen, die bei Benutzern im regelmäßigen Scan durchgeführt wurden, wie z.B. Passwörter, die als kompromittiert erkannt wurden. Es ist das Ergebnis eines zuvor zu einem bestimmten Zeitpunkt durchgeführten regelmäßigen Scans. Berichte, die aus Specops Password Auditor generiert werden, enthalten hingegen einen anderen Informationssatz, der sich auf Risiken im Zusammenhang mit Benutzern und Passwort-Richtlinien bezieht. Es ist eine Momentaufnahme der gesammelten Informationen, aber es wurden keine Maßnahmen bei Benutzern durchgeführt.
Berichte über regelmäßige Scans
Das SPP-Admin-Tool PowerShell-Modul enthält die folgenden Cmdlets im Zusammenhang mit regelmäßigen Scans:
Get-SppPeriodicScanningResultList
: listet die verfügbaren Ergebnisse regelmäßiger Scans vom Domänencontroller auf.Get-SppPeriodicScanningResult
: gibt zusammenfassende Informationen des letzten regelmäßigen Scans zurück oder, falls angegeben, eine spezifische Benutzerzählungs-ID. In diesem Ergebnissatz werden keine Benutzerinformationen bereitgestellt.Get-SppPeriodicScanningResultUsers
: gibt Informationen über die Benutzer des letzten regelmäßigen Scans zurück oder, falls angegeben, eine spezifische Benutzerzählungs-ID.
Beachten Sie, dass die oben genannten Cmdlets Informationen aus einem durchgeführten regelmäßigen Scan zurückgeben, aber keinen neuen regelmäßigen Scan starten.
Specops Password Auditor PDF-Berichte
Das SPP-Admin-Tool PowerShell-Modul enthält das folgende Cmdlet im Zusammenhang mit der PDF-Berichterstellung von Password Auditor:
New-SpaReport
: scannt Informationen aus Active Directory und erstellt einen PDF-Bericht. Es wird empfohlen, sorgfältig zu überlegen, wie oft und wann dieser Befehl ausgeführt werden soll, da er eine Belastung für den Domänencontroller verursacht.
Mit diesem Befehl ist es beispielsweise möglich, einen Bericht zu erstellen, der als E-Mail an einen CISO gesendet werden kann, um einen wöchentlichen Status bereitzustellen.
Während das SPA-Tool nach Benutzern mit in der Express-Liste gefundenen kompromittierten Passwörtern sucht, sind diese Berichte nicht Teil des vom Cmdlet generierten PDFs. Wenn Informationen über Benutzer mit kompromittierten Passwörtern von Interesse sind, wird empfohlen, das Cmdlet Get-SppPeriodicScanningResultUsers
zu verwenden. Beachten Sie, dass dies keinen Specops Password Auditor PDF-Bericht generiert, sondern einen Bericht über regelmäßige Scans in Specops Password Policy.
Planen von Berichten aus Specops Password Auditor
Mit dem obigen Cmdlet und dem Windows-Aufgabenplaner ist es möglich, die Berichtserstellung zu planen.
Unten ist ein Beispielskript für einen generierten PDF-Bericht, der als E-Mail an den CISO der Organisation gesendet wird.
-
Erstellen Sie eine Skriptdatei mit dem Namen reporting.ps1. In diesem Beispiel wird die Datei hier gespeichert:
C:\pdf_reports\scripts\reporting.ps1
-
Fügen Sie den folgenden Code in die Skriptdatei ein:
$out_folder = 'C:\pdf_reports\out' $pdf_report_path = New-SpaReport -OutputDirectory $out_folder -Verbose 4 > $out_folder\log.txt Send-MailMessage -Subject 'SPA report' -To 'ciso@acme.org' -From 'automated-reporting@acme.org' -SmtpServer 'smtp.acme.org' -Port 587 -Attachments $pdf_report_path
Stellen Sie sicher, dass Sie Ihren bevorzugten Ausgabepfad für $out_folder festlegen und die richtigen E-Mail-Parameter für Ihre Konfiguration eingeben.
Hinweis
Es wird empfohlen, dies auf einem Server auszuführen, der kein Domänencontroller ist.
-
Erstellen Sie eine geplante Aufgabe im Windows-Aufgabenplaner.
- Wählen Sie Aktion > Grundlegende Aufgabe erstellen
- Geben Sie ihr einen Namen.
- Legen Sie im Abschnitt Trigger Ihr bevorzugtes Intervall fest.
- Wählen Sie im Abschnitt Aktion Programm starten:
- Programm:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- Argument hinzufügen:
C:\pdf_reports\scripts\reporting.ps1
- Programm:
Da einige der Berichte passwortbezogene Informationen enthalten, sind Domänenadministratorberechtigungen erforderlich. Es wird empfohlen, die geplante Aufgabe als dediziertes Domänenadministrator-Konto für diesen Zweck auszuführen.