Berichterstattung

Specops Password Policy bietet eine Möglichkeit, Berichte aus dem ausgeführten periodischen Scan anzuzeigen. Darüber hinaus können Specops Password Policy Benutzer periodische aus SPA generierte Berichte planen.

Berichte aus periodischem Scan anzeigen

In Domain Administration Tool können Sie eine Übersicht des letzten periodischen Scans oder aller vorherigen Scans aufrufen.

  1. Gehen Sie in Domain Administration Tool auf Periodischer Scan.
  2. Nutzen Sie die Dropdown-Liste Berichtdatum, um sich die Ergebnisse des vorherigen periodischen Scans anzeigen zu lassen.

Sie können konfigurieren, wie viele Berichte im Abschnitt Einstellungen gespeichert werden. Weitere Informationen finden Sie auf der Domain Administration Tool-Seite.

Berichte automatisieren und planen

Es gibt zwei unterschiedliche Arten von Berichten: Berichte aus periodischem Scannen, die standardmäßig generiert werden, sowie PDF-Berichte, die von Admins generiert werden.

  • Berichte aus periodischem Scannen: Standardmäßig wird das periodische Scannen im Specops Password Policy Sentinel Service jede Nacht im PDC-Emulator ausgeführt. Während des periodischen Scannens werden Handlungen ausgeführt, so beispielsweise der Ablauf von Kennwörtern und das Handhaben kompromittierter Kennwörter. Specops Password Policy Sentinel speichert die Informationen des periodischen Scannens. Domain Administration Tool kann diese Informationen anzeigen, es ist jedoch ebenfalls möglich, die Informationen mithilfe von Windows PowerShell 5.1 CmdLets abzurufen, falls eine Automation bevorzugt wird.
  • PDF-Berichte: Specops Password Auditor Grundsätzlich ist dies ein Tool für das Generieren von PDF-Berichten, in denen Risiken zu Kennwortrichtlinien und Benutzerkonten im Active Directory aufgeführt sind. Neben dem manuellen Erstellen von Berichten in Specops Password Auditor können Specops Password Policy Benutzer (planmäßige) Berichte mithilfe eines Windows PowerShell 5.1 CmdLet erstellen.

Berichte aus periodischem Scannen vs. Password Auditor PDF-Berichterstattung

Es besteht ein grundlegender Unterschied zwischen Berichten zu periodischem Scannen und Berichten, die über Specops Password Auditor generiert werden. Berichte, die aus periodischem Scannen in Specops Password Policy generiert werden, enthalten Informationen über Handlungen, die in Bezug auf Benutzer beim periodischen Scannen ausgeführt wurden, so etwa in Bezug auf Kennwörter, die als kompromittiert eingestuft wurden. Diese Berichte sind das Ergebnis eines periodischen Scans, der vorher zu einem bestimmten Zeitpunkt ausgeführt wurde. Berichte, die aus Specops Password Auditor generiert wurden, enthalten dahingegen einen anderen Satz an Informationen, die sich auf Risiken in Bezug auf Benutzer und Kennwortrichtlinien beziehen. Sie sie ein Schnappschuss der gesammelten Informationen, jedoch nicht der in Bezug auf Benutzer ausgeführten Handlungen.

Berichte aus periodischem Scannen

Das SPP-Admin-Tool PowerShell-Modul enthält die folgenden cmdlets, die sich auf das periodische Scannen beziehen:

  • Get-SppPeriodicScanningResultList: listet die verfügbaren Ergebnis aus dem periodischen Scannen aus dem Domain-Controller auf.
  • Get-SppPeriodicScanningResult: gibt zusammenfassende Informationen zum letzten periodischen Scan oder – sofern festgelegt – eine spezifische Benutzerzählungs-ID wieder. Dieser Ergebnissatz enthält keine Benutzerinformationen.
  • Get-SppPeriodicScanningResultUsers: gibt Informationen zu den Benutzer aus dem letzten periodischen Scan oder – falls festgelegt – eine spezifische Benutzerzählungs-ID wieder.

Hinweis: Die vorstehenden cmdlets geben Informationen aus einem periodischen Scan wieder, der ausgeführt wurde, sie leiten jedoch keinen neuen periodischen Scan ein.

Specops Password Auditor PDF-Berichte

Das SPP-Admin-Tool PowerShell-Modul enthält die folgenden cmdlets, die sich auf die Password Auditor PDF-Berichterstattung beziehen:

  • New-SpaReport: scannt Informationen aus dem Active Directory und generiert einen PDF-Bericht. Es wird empfohlen, sorgfältig abzuwägen, wie oft und zu welchem Zeitpunkt dieser Befehl ausgeführt werden soll, da er den Domain-Controller belastet.

Mit diesem Befehl ist es beispielsweise möglich, einen Bericht zu generieren, der als E-Mail an einen CISO gesendet werden kann, um den Wochenstatus zu melden.

Wenngleich das SPA-Tool nach Benutzern mit kompromittierten Kennwörter sucht, die in der Express-Liste gefunden wurden, sind diese Bericht nicht Teil der PDF, die aus dem cmdlet generiert wurde. Wenn Informationen über Benutzer mit kompromittierten Kennwörter relevant sind, wird der Einsatz des Get-SppPeriodicScanningResultUserscmdlet empfohlen. Bitte beachten Sie, dass hierdurch kein Specops Password Auditor PDF-Bericht, sondern ein Bericht aus periodischen Scannen in Specops Password Policy generiert wird.

Bericht planen aus Specops Password Auditor

Mithilfe des vorstehenden cmdlet und der Windows Aufgabenplanung ist es möglich, die Berichterstellung zu planen.

Unten finden Sie ein Beispiel-Script eines generierten PDF-Berichts, der als E-Mail an den CISO der Organisation gesendet wurde.

  1. Erstellen Sie ein Script mit dem Titel reporting.ps1. In diesem Beispiel wird die Datei gespeichert unter:C:\pdf_reports\scripts\reporting.ps1
  2. Binden Sie den folgenden Code in das Script ein:
    Kopieren
    $out_folder = 'C:\pdf_reports\out' 
    $pdf_report_path = New-SpaReport -OutputDirectory $out_folder -Verbose 4> $out_folder\log.txt
    Send-MailMessage -Subject 'SPA report' -To 'ciso@acme.org' -From 'automated-reporting@acme.org' -SmtpServer 'smtp.acme.org' -Port 587 -Attachments $pdf_report_path

    Legen Sie Ihren bevorzugten Ausgabepfad für $out_folder und die richtigen E-Mail-Parameter für Ihr Setup fest.

    HINWEIS
    Es wird empfohlen, dies auf einem Server auszuführen, der kein Domain-Controller ist.
  3. Erstellen Sie eine planmäßige Aufgabe in der Windows Aufgabenplanung.
    1. Wählen Sie Aktion > Grundlegende Aufgabe erstellen
    2. Benennen Sie die Aufgabe.
    3. Stellen Sie im Abschnitt Trigger Ihren bevorzugten Intervall ein.
    4. Wählen Sie Abschnitt Aktion Ein Programm starten aus:
      • Programm: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • Argument hinzufügen: C:\pdf_reports\scripts\reporting.ps1

Da einige Berichte kennwortbezogene Informationen enthalten, ist eine Berechtigung für die Domain-Administration erforderlich. Es wird empfohlen, die planmäßige Aufgabe über ein dediziertes Domain-Admin-Konto durchzuführen.